使用 MFC 的靜態程式庫所建置的 ISAPI 擴充 DLL 會容易受到拒絕服務攻擊

文章翻譯 文章翻譯
文章編號: 310649 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

徵狀

網際網路伺服器應用程式發展介面 (ISAPI) 伺服器擴充功能利用 Microsoft 基礎類別 (MFC) 中靜態程式庫建置的可容易遭受拒絕服務 (DoS) 攻擊。

發生的原因

當 MFC 處理 POST 方法從資料時,MFC 配置緩衝區空間不足,無法存放資料,並再將資料解碼成 ISAPI 伺服器擴充功能的預設方法的引數清單。重度負載下 MFC ISAPI 擴充程式碼會產生不是有效的引數。當使用者程式碼會嘗試處理資訊時,就會發生存取違規。

解決方案

修正程式現在可以從 Microsoft,但它只用來修正本文所述的問題。因此只提供給已遭遇此特定問題的電腦。此修正程式可能會接受其他測試。因此,如果您不會嚴重影響這個問題,Microsoft 建議您等候下一個的 Microsoft Visual Studio 6.0 Service Pack 包含此 Hotfix。

如果要立即解決這個問題,洽詢 Microsoft 技術支援部以取得此修正程式。如需 Microsoft 產品支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
注意: 在特殊情況中通常會因支援電話所產生的費用如果,可能就不收取 Microsoft 支援人員認為某特定更新程式可以解決您的問題。典型的支援成本將會套用到其他支援問題是所做不限定特定有問題的更新程式。

此修正程式的英文版具有檔案屬性 (或更新) 中如下表所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
   Date         Time   Size     File name    
   -----------------------------------------
   19-Sep-2001  16:02  138,948  Eafxis.lib
   19-Sep-2001  16:02  749,568  Eafxis.pdb
   19-Sep-2001  16:01  102,514  Nafxis.lib
   19-Sep-2001  16:01   86,016  Nafxis.pdb
				

狀況說明

Microsoft 已確認這是在本文開頭所列之 Microsoft 產品中的問題。

其他相關資訊

這項弱點是只在 Visual C++ MFC 的靜態程式庫,且不公開在 MFC 動態連結程式庫 (DLL)。

若要使用此修正程式,您必須重新編譯受影響的 ISAPI 擴充與此修正程式中所提供的新檔案。 路上現有的檔案,此修正程式中複製已更新的檔案。 預設狀況下,必須更新現有的檔案會出現在下列目錄:
%程式 files%\Microsoft Visual Studio\VC98\MFC\Lib\

屬性

文章編號: 310649 - 上次校閱: 2013年10月24日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Microsoft Visual C++ 6.0 Enterprise Edition
關鍵字:?
kbnosurvey kbarchive kbmt kbqfe kbhotfixserver kbbug kbfix KB310649 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:310649
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com