MS02-010: Az ISAPI-szűrő nem ellenőrzött puffere veszélyeztetheti a Commerce Server rendszer működését

A cikk fordítása A cikk fordítása
Cikk azonosítója: 317615 - A cikkben érintett termékek listájának megtekintése.
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Az összes kibontása | Az összes összecsukása

A jelenség

A Commerce Server alapú webhelyek működése hozzáférés-megsértés miatt leállhat. A programfolyamat hibáját a Drwtsn32 alkalmazás jelenti és naplózza.

Oka

A Commerce Server 2000 rendszer alapértelmezés szerint ISAPI-szűrővel rendelkező dinamikus csatolású függvénytárat (DLL) telepít, amely segítségével a kiszolgáló nagyobb hatékonysággal válaszolhat a kiszolgálón történő eseményekre. Ez a szűrő (AuthFilter) több hitelesítési metódust is támogat, de a Commerce Server 2000 úgy is beállítható, hogy más hitelesítési metódusokat alkalmazzon.

A program biztonsági rést tartalmaz, mert az AuthFilter szűrő kódjának egyik, a hitelesítési kérelmek bizonyos típusait kezelő részében nem ellenőrzött puffer található. Az esetleges támadók a puffer túlcsordulását okozó hitelesítési adatok megadásával leállíthatják a Commerce Server rendszer működését, vagy esetleg kódot futtathatnak a Commerce Server folyamat biztonsági környezetében. A folyamat futtatása a helyi rendszer jogosultságaival történik, így a biztonsági rést kihasználva a támadó teljes mértékben átveheti a kiszolgáló irányítását.

A megoldás

A frissítés külön javításként vagy a Commerce Server 2000 Service Pack 3 (SP3) csomag részeként is letölthető. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
297216 Információ: A Commerce Server 2000 program legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Önálló frissítés

A következő fájlok letölthetők a Microsoft letöltőközpontból:
Angol nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_en.exe now
Francia nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_fr.exe now
Német nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_de.exe now
Japán nyelven:
A kép összecsukásaA kép kibontása
Letöltés
Letöltés: Q317615_COMMERCE_2000_jp.exe now
Kiadás dátuma: 2002. február 21.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

A frissítés angol nyelvű verziója a következő táblázatban található fájlattribútumokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Idő    Verziószám  Méret    Fájlnév       Rendszer
   ---------------------------------------------------------------
   2002.01.29.  16:30  4.0.3032.0  102 672  Siteauth.dll  i386
				
Megjegyzés: A fájlfüggőségek következtében a frissítés további fájlokat is tartalmazhat.

Fontos! A frissítés csak akkor telepíthető, ha a számítógépre telepítve van a Microsoft Commerce Server 2000 Service Pack 2 (SP2) szervizcsomag. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
297216 Információ: A Commerce Server 2000 program legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Commerce Server 2000 programban. A problémát először a Commerce Server 2000 Service Pack 3 (SP3) szervizcsomag javította.

További információ

A biztonsági résről a Microsoft webhelye nyújt további felvilágosítást:
http://www.microsoft.com/technet/security/bulletin/MS02-010.asp

Tulajdonságok

Cikk azonosítója: 317615 - Utolsó ellenőrzés: 2014. január 29. - Verziószám: 3.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Commerce Server 2000 Standard Edition
  • Microsoft Commerce Server 2000 Service Pack 1
  • Microsoft Commerce Server 2000 Service Pack 2
Kulcsszavak: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbcommserv2000sp3fix kbsecurity kbcommserv2000presp3fix kbsecbulletin kbproductlink KB317615
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com