MS02-053: A SmartHTML-értelmezőhöz intézett kérelem teljesen kisajátíthatja a webkiszolgáló processzorának erőforrásait

A cikk fordítása A cikk fordítása
Cikk azonosítója: 324096 - A cikkben érintett termékek listájának megtekintése.
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A SmartHTML-értelmező (Shtml.dll) a FrontPage Server Extensions programcsomag része, és a webes űrlapok és az egyéb FrontPage alapú dinamikus tartalom támogatását biztosítja. Az értelmező tartalmaz egy hibát, amely akkor jelentkezik, ha adott típusú webfájlra vonatkozó kérést dolgoz fel, és a kérés rendelkezik bizonyos egyéb tulajdonságokkal is Az ilyen kérések azt okozhatják, hogy az értelmező a processzor felhasználható teljesítményének legnagyobb részét vagy egészét kihasználja a webszolgáltatás újraindításáig. A támadók a biztonsági rést kihasználva a szolgáltatás elérhetetlenné tételére irányuló támadást indíthatnak az érintett webkiszolgáló ellen.

A hibát enyhítő tényezők

  • A biztonsági rés nem teszi lehetővé ennél jelentősebb műveletek végrehajtását a kiszolgálón. Nem ad lehetőséget arra, hogy a felhasználó adatokat vehessen fel, módosíthasson vagy törölhessen a kiszolgálón.
  • Ha egy statikus webkiszolgáló konfigurálása az IIS zárolási eszköze segítségével történik, az eszköz kikapcsolja a SmartHTML-értelmezőt. Ha egy kiszolgálón ezt az eszközt használták, az védett a biztonsági réssel szemben.
  • A FrontPage Server Extensions telepítése a Microsoft Internet Information Server 4.0 és a Microsoft Internet Information Services 5.0, illetve 5.1 programmal alapértelmezés szerint megtörténik, de a FrontPage Server Extensions eltávolítható. Ha egy kiszolgálóról az IIS el lett távolítva, az nem lehet veszélyeztetett.

A megoldás

FrontPage 2002 Server Extensions a Microsofttól

További információt a biztonsági frissítésről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
329086FP2002: A FrontPage 2002 Server Extensions 2002. szeptember 25-i biztonsági frissítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A javítás angol nyelvű verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek:
   Verzió       Fájlnév
   ------------------------
   10.0.4219.0  Fp5awel.dll
				
A Microsoft javasolja a FrontPage 2002 Server Extensions 2002. januárjában kiadott frissítésének telepítését is. További információt a biztonsági frissítésről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
317296 A FrontPage 2002 Server Extensions 2002. január 28-i biztonsági frissítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

FrontPage 2000 Server Extensions a Microsofttól

További információt a biztonsági frissítésről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
329085FP2002: A FrontPage 2000 Server Extensions 2002. szeptember 25-i biztonsági frissítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A javítás angol nyelvű verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek:
   Verzió       Fájlnév
   ------------------------
   4.0.2.6426   Fp4awel.dll
				

Windows XP

A Microsoft közzétett egy támogatott javítást, de az csak a jelen cikkben ismertetett probléma megoldására szolgál. Csak olyan számítógépekre telepítse a javítást, amelyekről megállapítható, hogy támadás veszélyének vannak kitéve. A veszélyeztetettség megállapításához mérlegelje a számítógép fizikai elérhetőségét, hálózattal vagy az internettel való kapcsolatának lehetőségét és más tényezőket. A kockázat fokának meghatározásához olvassa el a kapcsolódó Microsoft Security Bulletin közleményt. A javítás további tesztelésen mehet keresztül. Ha a számítógép fokozott veszélynek van kitéve, a Microsoft a javítás haladéktalan telepítését javasolja. Egyébként várja meg a Windows XP következő szervizcsomagját, amely tartalmazza ezt a javítást.

A probléma azonnali megoldásához töltse le a javítást a cikkben alább található útmutatásnak megfelelően, vagy kérjen segítséget a Microsoft terméktámogatási szolgálatától a javítás beszerzése érdekében. A Microsoft terméktámogatási szolgálat telefonszámainak teljes listáját és a támogatási költségekre vonatkozó információkat a Microsoft következő webhelyén találja:
http://support.microsoft.com/default.aspx?scid=fh;HU;CNTACTMS
Megjegyzés: Bizonyos esetekben – amennyiben a Microsoft támogatási szakembere megállapítja, hogy egy adott frissítés megoldja a szóban forgó problémát – a telefonos támogatásért felszámított díjak elengedhetők. Az olyan további kérdésekre és problémákra, amelyek nem az adott frissítésre vonatkoznak, a szokásos támogatási díjak érvényesek.

Letöltési információ

A következő fájlok letölthetők a Microsoft letöltőközpontjából:
Angol (amerikai):
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Arab:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Kínai (egyszerűsített):
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Kínai (hagyományos):
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Cseh:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Dán:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Holland:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Finn:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Francia:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Német:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Görög:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Héber:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Magyar:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Olasz:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Japán:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Koreai:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Norvég:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Lengyel:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Portugál:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Portugál (brazil):
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Orosz:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Spanyol:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Svéd:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése

Török:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése
Kiadás dátuma: 2002. szeptember 25.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési beállítások

A frissítés telepítését követően újra kell indítani a számítógépet. A telepítőprogram a következő kapcsolók használatát támogatja:
  • -?: A telepítési kapcsolók listájának megjelenítése.
  • -u: Felügyelet nélküli mód használata.
  • -f: A számítógép leállítása érdekében más programok bezárásának kényszerítése.
  • -n: A frissítés eltávolítását lehetővé tevő biztonságimásolat-fájlok létrehozásának kihagyása.
  • -o: Az OEM-fájlok automatikus felülírása.
  • -z: A számítógép újraindításának kihagyása a telepítés befejeztével.
  • -q: Csendes mód használata (nincs szükség felhasználói beavatkozásra).
  • -l: A telepített gyorsjavítások listájának megjelenítése.
  • -x A fájlok kibontása a telepítő futtatása nélkül.
Például a felhasználói beavatkozást nem igénylő, a telepítés végeztével a számítógép újraindítását mellőző telepítéshez az alábbi parancsot adja ki:
Q324096_wxp_sp1_x86_hun -u -q -z
Figyelem: A számítógép az újraindításig továbbra is ki lesz téve a támadásoknak.

Fájlinformációk

A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum          Idő       Verzió       Méret    Fájlnév
   ------------------------------------------------------
   2002. jún. 22. 22:37     10.0.4219.0  1382984  Fp5awel.dll      
				
Megjegyzés: A fájlfüggőségek miatt a frissítés további fájlokat is tartalmazhat.


A Windows 2000 szervizcsomagjaira vonatkozó információk

A jelen biztonsági javítás Windows 2000 rendszerhez készült verziója része a Windows 2000 Service Pack 4 (SP4) szervizcsomagnak, ha a rendszeren megtalálható a FrontPage 2000 Server Extensions. Ha a FrontPage Server Extensions valamely más verzióját használja, az MS02-053 jelű értesítéshez tartozó javítást külön kell telepíteni. A probléma megoldásához szerezze be az Windows 2000 legújabb szervizcsomagját. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
260910 A legfrissebb Windows 2000 szervizcsomag beszerzése

A Windows 2000 rendszer gyorsjavításával kapcsolatos információk

A Microsoft közzétett egy támogatott javítást, de az csak a jelen cikkben ismertetett probléma megoldására szolgál. Csak olyan számítógépekre telepítse a javítást, amelyekről megállapítható, hogy támadás veszélyének vannak kitéve. A veszélyeztetettség megállapításához mérlegelje a számítógép fizikai elérhetőségét, hálózattal vagy az internettel való kapcsolatának lehetőségét és más tényezőket. A kockázat fokának meghatározásához olvassa el a kapcsolódó Microsoft Security Bulletin közleményt. A javítás további tesztelésen mehet keresztül. Ha a számítógép fokozott veszélynek van kitéve, a Microsoft a javítás haladéktalan telepítését javasolja. Egyébként várja meg a Windows 2000 következő szervizcsomagját, amely tartalmazza ezt a javítást.

A probléma azonnali megoldásához töltse le a javítást a cikkben alább található útmutatásnak megfelelően, vagy kérjen segítséget a Microsoft terméktámogatási szolgálatától a javítás beszerzése érdekében. A Microsoft terméktámogatási szolgálat telefonszámainak teljes listáját és a támogatási költségekre vonatkozó információkat a Microsoft következő webhelyén találja:
http://support.microsoft.com/default.aspx?scid=fh;HU;CNTACTMS
Megjegyzés: Bizonyos esetekben – amennyiben a Microsoft támogatási szakembere megállapítja, hogy egy adott frissítés megoldja a szóban forgó problémát – a telefonos támogatásért felszámított díjak elengedhetők. Az olyan további kérdésekre és problémákra, amelyek nem az adott frissítésre vonatkoznak, a szokásos támogatási díjak érvényesek.

Letöltési információ

A következő fájl letölthető a Microsoft letöltőközpontból:
A kép összecsukásaA kép kibontása
Letöltés
A Q324096. számú csomag letöltése
A kiadás dátuma: 2002. szeptember 25.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési beállítások

A frissítés telepítését követően újra kell indítani a számítógépet. A telepítőprogram a következő kapcsolók használatát támogatja:
  • -?: A telepítési kapcsolók listájának megjelenítése.
  • -u: Felügyelet nélküli mód használata.
  • -f: A számítógép leállítása érdekében más programok bezárásának kényszerítése.
  • -n: A frissítés eltávolítását lehetővé tevő biztonságimásolat-fájlok létrehozásának kihagyása.
  • -o: Az OEM-fájlok automatikus felülírása.
  • -z: A számítógép újraindításának kihagyása a telepítés befejeztével.
  • -q: Csendes mód használata (nincs szükség felhasználói beavatkozásra).
  • -l: A telepített gyorsjavítások listájának megjelenítése.
  • -x A fájlok kibontása a telepítő futtatása nélkül.
Például a felhasználói beavatkozást nem igénylő, a telepítés végeztével a számítógép újraindítását mellőző telepítéshez az alábbi parancsot adja ki:
q318138_w2k_sp3_x86_hun /q /m /z
Figyelem: A számítógép az újraindításig továbbra is ki lesz téve a támadásoknak.

Fájlinformációk

A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
Dátum          Idő     Verziószám   Méret   Fájlnév és útvonal
------------------------------------------------------------------------
2002. ápr. 27. 12:34   4.0.2.6426   872557  ???\fp4awel.dll
					
Megjegyzés: A fájlfüggőségek miatt a frissítés további fájlokat is tartalmazhat. A frissítés telepítéséhez a Windows 2000 Service Pack 2 (SP2) vagy Service Pack 1 (SP1) szervizcsomaggal ellátott verziója szükséges.

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a cikk elején felsorolt Microsoft-termékekben. A probléma első javítását a Microsoft Windows 2000 Service Pack 4 szervizcsomag tartalmazza.

További információ

A biztonsági résről a Microsoft következő webhelyén talál további információt:
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp

Tulajdonságok

Cikk azonosítója: 324096 - Utolsó ellenőrzés: 2014. február 24. - Verziószám: 4.3
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows 2000 Professional SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft FrontPage 2000 kiszolgálói bővítmények
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Kulcsszavak: 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix atdownload KB324096
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com