MS02-010: Az ISAPI-szűrő nem ellenőrzött puffere veszélyeztetheti a Commerce Server rendszer működését

A cikk fordítása A cikk fordítása
Cikk azonosítója: 317615 - A cikkben érintett termékek listájának megtekintése.
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Az összes kibontása | Az összes összecsukása

A jelenség

A Commerce Server alapú webhelyek működése hozzáférés-megsértés miatt leállhat. A programfolyamat hibáját a Drwtsn32 alkalmazás jelenti és naplózza.

Oka

A Commerce Server 2000 rendszer alapértelmezés szerint ISAPI-szűrővel rendelkező dinamikus csatolású függvénytárat (DLL) telepít, amely segítségével a kiszolgáló nagyobb hatékonysággal válaszolhat a kiszolgálón történő eseményekre. Ez a szűrő (AuthFilter) több hitelesítési metódust is támogat, de a Commerce Server 2000 úgy is beállítható, hogy más hitelesítési metódusokat alkalmazzon.

A program biztonsági rést tartalmaz, mert az AuthFilter szűrő kódjának egyik, a hitelesítési kérelmek bizonyos típusait kezelő részében nem ellenőrzött puffer található. Az esetleges támadók a puffer túlcsordulását okozó hitelesítési adatok megadásával leállíthatják a Commerce Server rendszer működését, vagy esetleg kódot futtathatnak a Commerce Server folyamat biztonsági környezetében. A folyamat futtatása a helyi rendszer jogosultságaival történik, így a biztonsági rést kihasználva a támadó teljes mértékben átveheti a kiszolgáló irányítását.

A megoldás

A frissítés külön javításként vagy a Commerce Server 2000 Service Pack 3 (SP3) csomag részeként is letölthető. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
297216 Információ: A Commerce Server 2000 program legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Önálló frissítés

A következő fájlok letölthetők a Microsoft letöltőközpontból:
Angol nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_en.exe now
Francia nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_fr.exe now
Német nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_de.exe now
Japán nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_jp.exe now
Kiadás dátuma: 2002. február 21.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

A frissítés angol nyelvű verziója a következő táblázatban található fájlattribútumokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Idő    Verziószám  Méret    Fájlnév       Rendszer
   ---------------------------------------------------------------
   2002.01.29.  16:30  4.0.3032.0  102 672  Siteauth.dll  i386
				
Megjegyzés: A fájlfüggőségek következtében a frissítés további fájlokat is tartalmazhat.

Fontos! A frissítés csak akkor telepíthető, ha a számítógépre telepítve van a Microsoft Commerce Server 2000 Service Pack 2 (SP2) szervizcsomag. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
297216 Információ: A Commerce Server 2000 program legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Commerce Server 2000 programban. A problémát először a Commerce Server 2000 Service Pack 3 (SP3) szervizcsomag javította.

További információ

A biztonsági résről a Microsoft webhelye nyújt további felvilágosítást:
http://www.microsoft.com/technet/security/bulletin/MS02-010.asp

Tulajdonságok

Cikk azonosítója: 317615 - Utolsó ellenőrzés: 2014. január 29. - Verziószám: 3.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Commerce Server 2000 Standard Edition
  • Microsoft Commerce Server 2000 Service Pack 1
  • Microsoft Commerce Server 2000 Service Pack 2
Kulcsszavak: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbcommserv2000sp3fix kbsecurity kbcommserv2000presp3fix kbsecbulletin kbproductlink KB317615
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com