Las DLL de ISAPI que están integradas con bibliotecas estáticas MFC son vulnerable a ataques de denegación de servicio

Seleccione idioma Seleccione idioma
Id. de artículo: 310649 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

Síntomas

Una extensión de servidor de interfaz de programación de aplicaciones de servidor de Internet (ISAPI) que creada con Microsoft Foundation Classes (MFC) en una biblioteca estática puede ser vulnerable a ataques de denegación de servicio (DoS).

Causa

Cuando MFC procesa datos desde el método POST, MFC asigna suficiente espacio en búfer para almacenar los datos y, a continuación, descodifica los datos en una lista de argumentos para el método predeterminado de la extensión de servidor. Mucha carga, el código de ISAPI de MFC produce argumentos que no son válidos. Cuando el código de usuario intenta procesar la información, se produce una infracción de acceso.

Solución

Ahora tiene a su disposición una revisión para la que Microsoft proporciona soporte técnico, pero que sólo se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a equipos que experimenten este problema específico. Se efectuarán pruebas adicionales de esta revisión. Por lo tanto, si no se ve muy afectado por este problema, Microsoft recomienda que espere al próximo service pack de Microsoft Visual Studio 6.0 que contenga este hotfix.

Para resolver este problema inmediatamente, póngase en contacto con los Servicios de soporte técnico de Microsoft con el fin de obtener la revisión. Para obtener una lista completa de los números de teléfono de servicios de soporte de técnico de Microsoft e información acerca de los costos de soporte, visite el siguiente sitio Web:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Nota : en casos especiales, los que normalmente se incurre llamadas de soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con la actualización en cuestión.

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y horas de estos archivos aparecen en la hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria de la herramienta fecha y hora en el panel de control.
   Date         Time   Size     File name    
   -----------------------------------------
   19-Sep-2001  16:02  138,948  Eafxis.lib
   19-Sep-2001  16:02  749,568  Eafxis.pdb
   19-Sep-2001  16:01  102,514  Nafxis.lib
   19-Sep-2001  16:01   86,016  Nafxis.pdb
				

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:" de este artículo.

Más información

Esta vulnerabilidad sólo está en las bibliotecas estáticas MFC de Visual C++ y no está expuesta en las bibliotecas de vínculos dinámicos (DLL) de MFC.

Para utilizar esta revisión, necesita un recompilar de la extensión ISAPI afectada con los nuevos archivos proporcionados en esta corrección. Copie los archivos actualizados en esta corrección sobre archivos existentes. De forma predeterminada, los archivos existentes que tengan que actualizarse aparecen en el directorio siguiente:
% Programa Files%\Microsoft Visual Studio\VC98\MFC\Lib\

Propiedades

Id. de artículo: 310649 - Última revisión: sábado, 1 de febrero de 2014 - Versión: 2.0
La información de este artículo se refiere a:
  • Microsoft Visual C++ 6.0 Enterprise
Palabras clave: 
kbnosurvey kbarchive kbmt kbqfe kbhotfixserver kbbug kbfix KB310649 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 310649

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com