MS01-022: Dostawca usług WebDAV umożliwia skryptom przesyłanie ich żądań jako pochodzących od użytkownika

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 296441 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL296441
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Rozwiń wszystko | Zwiń wszystko

Symptomy

Dostawca Microsoft Data Access Component Internet Publishing Provider daje dostęp do zasobów Web Distributed Authoring and Versioning (WebDAV) przez Internet. Zgodnie z projektem powinien on odróżniać żądania pochodzące od użytkownika od żądań wygenerowanych przez skrypt uruchomiony w przeglądarce użytkownika. Jednak z powodu usterki w implementacji wszystkie żądania obsługuje on w kontekście zabezpieczeń użytkownika. W związku z tym, jeśli użytkownik przejdzie na stronę sieci Web lub otworzy wiadomość e-mail w języku HTML, która zawiera skrypt, ten skrypt może uzyskać dostęp do wszystkich zasobów opartych na sieci Web, do których ma dostęp użytkownik.

Określone czynności, które mógłby podjąć złośliwy włamywacz próbujący wykorzystać tę lukę, zależą od dostępnych dla użytkownika zasobów opartych na sieci Web i od uprawnień użytkownika do tych zasobów. Najprawdopodobniej jednak włamywacz mógłby przynajmniej przeglądać intranet użytkownika i potencjalnie uzyskać dostęp do jego wiadomości e-mail.

Uwagi:
  • Aby przeprowadzić skuteczny atak, włamywacz musiałby być w posiadaniu ważnych informacji wewnętrznych (takich jak: nazwy serwerów, struktury folderów oraz inne informacje specyficzne dla użytkownika i sieci). Dlatego tę lukę najłatwiej byłoby wykorzystać do ataku wewnętrznego.
  • Z powodu sposobu, w jaki są uwierzytelniane żądania dotyczące zasobów WebDAV, tej luki nie można wykorzystać do ataku przeciwko komputerom autonomicznym.
  • Tej luki nie można wykorzystać w przypadku wyłączonej funkcji wykonywania skryptów aktywnych w strefie zabezpieczeń, w której otwarto skrypt.

Rozwiązanie

Obsługiwana poprawka jest obecnie dostępna w firmie Microsoft, ale jest przeznaczona tylko do rozwiązania problemu opisanego w tym artykule i powinna być stosowana tylko do systemów narażonych na ataki. Aby określić stopień narażenia komputera na ten problem, należy ocenić jego dostępność fizyczną, łączność z siecią i z Internetem oraz inne czynniki. Ocenę ułatwi zapoznanie się z biuletynem Microsoft Security Bulletin. Ta poprawka prawdopodobnie będzie jeszcze testowana. Jeżeli dany komputer jest poważnie narażony na ten problem, firma Microsoft zaleca natychmiastowe zastosowanie poprawki.

Aby natychmiast rozwiązać ten problem, pobierz poprawkę, klikając łącze pobierania umieszczone dalej w tym artykule, lub skontaktuj się z Pomocą techniczną firmy Microsoft w celu uzyskania poprawki. Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej oraz sposobu kontaktowania się z firmą Microsoft, odwiedź następującą witrynę w sieci Web:
http://support.microsoft.com/default.aspx?scid=fh;PL;CNTACTMS
Tę poprawkę można zainstalować w następujących systemach operacyjnych:
  • Windows 95
  • Windows 98
  • Windows 98 Wydanie drugie
  • Windows Millennium Edition (Me)
  • Windows NT 4.0 Workstation Service Pack 6a
  • Windows NT 4.0 Server; Server, Enterprise Edition; Service Pack 6a
  • Windows NT 4.0 Server, Terminal Server Edition, Service Pack 6
  • Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server
  • Windows 2000 Professional z dodatkiem Service Pack 1, Windows 2000 Server z dodatkiem Service Pack 1, Windows 2000 Advanced Server z dodatkiem Service Pack 1
Poniższy plik jest udostępniony do pobrania w witrynie Microsoft - Centrum pobierania:
Zwiń ten obrazekRozwiń ten obrazek

Pobierz
Pobierz plik Rbupdate.exe
Aby uzyskać dodatkowe informacje, jak pobierać pliki Pomocy technicznej firmy Microsoft, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Firma Microsoft skanowała ten plik w poszukiwaniu wirusów, używając najnowszego oprogramowania antywirusowego, jakie było dostępne w dniu opublikowania pliku. Plik jest przechowywany na bezpiecznych serwerach, które uniemożliwiają wprowadzanie w nim nieautoryzowanych zmian.

Wersja anglojęzyczna tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):
   Data        Godzina  Wersja        Rozmiar  Nazwa pliku
   ------------------------------------------------------
   05/04/2001  12:45    8.102.4004.0  561 152  Msdaipp.10
   04/04/2001  17:59    8.103.4004.0  573 440  Msdaipp.15
   08/04/2001  13:10                   45 056  Rb_inst.exe

Stan

Firma Microsoft potwierdziła, że ten problem może stanowić pewną lukę w zabezpieczeniach produktów firmy Microsoft wymienionych na początku tego artykułu.

Więcej informacji

Aby otrzymać dodatkowe informacje, jak uzyskać poprawkę dla systemu Windows 2000 Datacenter Server, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
265173 The Datacenter Program and Windows 2000 Datacenter Server Product
Aby uzyskać dodatkowe informacje dotyczące instalowania wielu poprawek z tylko jednym ponownym rozruchem komputera, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
296861 Wykorzystanie programu QChain.exe do instalacji wielu poprawek przy jednym ponownym rozruchu systemu
Aby stwierdzić, czy dany komputer jest narażony na ryzyko związane z istnieniem tej luki, znajdź na komputerze plik Msdaipp.dll. Jeśli tego pliku nie ma, komputer jest bezpieczny i nie potrzebujesz poprawki. Jeśli ten plik istnieje, kliknij go prawym przyciskiem myszy, kliknij polecenie Właściwości, kliknij kartę Wersja, a następnie porównaj wersję pliku z wersjami wymienionymi poniżej:
Zwiń tę tabelęRozwiń tę tabelę
Numer wersji Stan
8.102.1403.0 Narażony
8.103.2402.0 Narażony
8.103.2519.0 Narażony
Wszystkie inne wersje Nienarażony
Aby uzyskać więcej informacji o tej luce, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS01-022.asp

Właściwości

Numer ID artykułu: 296441 - Ostatnia weryfikacja: 3 lutego 2014 - Weryfikacja: 2.6
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 95
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT 4.0 Service Pack 1
  • Microsoft Windows NT 4.0 Service Pack 2
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 5
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 6
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Słowa kluczowe: 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbgraphxlinkcritical kbwin2000sp3fix kbsecurity KB296441

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com