MS02-053: La richiesta all'interprete SmartHTML pu˛ monopolizzare le risorse della CPU del server Web

Traduzione articoli Traduzione articoli
Identificativo articolo: 324096 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

L'interprete SmartHTML (Shtml.dll), contenuto nelle estensioni del server di FrontPage, fornisce supporto per i moduli Web e altro contenuto dinamico basato su FrontPage. L'interprete contiene un difetto che si presenta durante l'elaborazione di una richiesta di un particolare tipo di file Web, quando la richiesta presenta determinate caratteristiche. Una richiesta di questo tipo pu˛ far sý che l'interprete esaurisca gran parte o tutta la disponibilitÓ della CPU fino a causare il riavvio del servizio Web. Un utente malintenzionato potrebbe sfruttare questo problema di protezione per sferrare un attacco che determini il rifiuto del servizio a un server Web affetto da tale problema.

Fattori attenuanti

  • Il problema di protezione non consente di adottare nessun'altra azione che possa determinare conseguenze pi¨ gravi sul server. Non consente infatti all'utente malintenzionato di aggiungere, eliminare o modificare dati sul server.
  • Il comando Strumento di verifica della sicurezza per IIS (informazioni in lingua inglese), se utilizzato per configurare un server Web statico, disattiva l'interprete SmartHTML. I server su cui questo strumento Ŕ stato utilizzato non possono essere interessati da questo problema di protezione.
  • In base all'impostazione predefinita, le estensioni del server di FrontPage vengono installate in Microsoft Internet Information Server versione 4.0 e Microsoft Internet Information Services versione 5.0 e 5.1, ma possono essere rimosse. I server su cui Ŕ stato rimosso Internet Information Server oppure Internet Information Services non possono essere interessati da questo problema di protezione.

Risoluzione

Estensioni del server di Microsoft FrontPage 2002

Per ulteriori informazioni sull'aggiornamento della protezione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329086 FP2002: Aggiornamento per la protezione delle estensioni del server di FrontPage 2002: 25 settembre 2002
La versione in lingua inglese di questa correzione ha gli attributi di file elencati nella tabella seguente (o successivi):
   Versione       Nome file     
   --------------------------
   10.0.4219.0    Fp5awel.dll
Microsoft raccomanda altresý di installare l'aggiornamento delle estensioni del server di FrontPage 2002 rilasciato nel gennaio 2002. Per ulteriori informazioni sull'aggiornamento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
317296 Panoramica dell'aggiornamento delle estensioni del server di FrontPage 2002 del 28 gennaio 2002

Estensioni del server di Microsoft FrontPage 2000

Per ulteriori informazioni sull'aggiornamento della protezione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329085 FP2000: Aggiornamento per la protezione delle estensioni del server di FrontPage 2000: 25 settembre 2002
La versione in lingua inglese di questa correzione ha gli attributi di file elencati nella tabella seguente (o successivi):
   Versione       Nome file     
   --------------------------
   4.0.2.6426     Fp4awel.dll

Windows XP

╚ disponibile una correzione supportata da Microsoft, che Ŕ tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui Ŕ soggetto il computer, valutarne attentamente il grado di accessibilitÓ fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. ╚ possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer Ŕ a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario, attendere la versione successiva del service pack di Windows XP contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:
http://support.microsoft.com/default.aspx?scid=fh;IT;CNTACTMS
NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverÓ il problema. I normali costi del Servizio Supporto Tecnico Clienti Microsoft verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Informazioni sul download

I seguenti file sono disponibili per il download dall'Area download Microsoft.
Inglese (USA) Download del pacchetto Q324096

Arabo: Download del pacchetto Q324096

Cinese (semplificato): Download del pacchetto Q324096

Cinese (tradizionale): Download del pacchetto Q324096

Ceco: Download del pacchetto Q324096

Danese: Download del pacchetto Q324096

Olandese: Download del pacchetto Q324096

Finlandese: Download del pacchetto Q324096

Francese: Download del pacchetto Q324096

Tedesco: Download del pacchetto Q324096

Greco: Download del pacchetto Q324096

Ebraico: Download del pacchetto Q324096

Ungherese: Download del pacchetto Q324096

Italiano: Download del pacchetto Q324096

Giapponese: Download del pacchetto Q324096

Coreano: Download del pacchetto Q324096

Norvegese: Download del pacchetto Q324096

Polacco: Download del pacchetto Q324096

Portoghese: Download del pacchetto Q324096

Portoghese (Brasile): Download del pacchetto Q324096

Russo: Download del pacchetto Q324096

Spagnolo: Download del pacchetto Q324096

Svedese: Download del pacchetto Q324096

Turco: Download del pacchetto Q324096
Data di rilascio: 25 settembre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Opzioni di installazione

╚ necessario riavviare il computer una volta applicato l'aggiornamento. Questo aggiornamento supporta i seguenti parametri di installazione:
  • -?: consente di visualizzare l'elenco dei parametri di installazione.
  • -u: modalitÓ automatica.
  • -f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • -n: consente di non eseguire il backup dei file per la disinstallazione.
  • -o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • -z: consente di non riavviare il computer al termine dell'installazione.
  • -q: modalitÓ non interattiva (senza intervento dell'utente).
  • -l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • -x: consente di estrarre i file senza eseguire il programma di installazione.
Ad esempio, con la seguente riga di comando, l'aggiornamento viene installato senza intervento dell'utente e senza richiedere il riavvio del computer:
Q324096_wxp_sp1_x86_enu -u -q -z
AVVISO: il computer risulterÓ vulnerabile finchÚ non sarÓ stato riavviato.

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data         Ora     Versione     Dimensione    Nome file
   -----------------------------------------------------------
   22/06/02     22.37   10.0.4219.0  1.382.984     Fp5awel.dll
NOTA: a causa delle dipendenze fra i file, Ŕ possibile che questo aggiornamento contenga ulteriori file.


Informazioni sul service pack per Windows 2000

La versione per Microsoft Windows 2000 di questa patch di protezione Ŕ inclusa in Windows 2000 Service Pack 4 (SP4) per i sistemi che eseguono le estensioni del server di FrontPage 2000. Se si utilizzano altre versioni delle estensioni del server di FrontPage, sarÓ necessario installare la patch per MS02-053 separatamente. Per risolvere questo problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Microsoft Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260910 Acquisizione della versione pi¨ recente del service pack di Windows 2000

Informazioni sull'aggiornamento rapido per Windows 2000

╚ disponibile una correzione supportata da Microsoft, che Ŕ tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui Ŕ soggetto il computer, valutarne attentamente il grado di accessibilitÓ fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. ╚ possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer Ŕ a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario, attendere la versione successiva del service pack di Windows 2000 contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:
http://support.microsoft.com/default.aspx?scid=fh;IT;CNTACTMS
NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverÓ il problema. I normali costi del Servizio Supporto Tecnico Clienti Microsoft verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Informazioni sul download

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:
Download del pacchetto Q324096
Data di rilascio: 25 settembre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Opzioni di installazione

╚ necessario riavviare il computer una volta applicato l'aggiornamento. Questo aggiornamento supporta i seguenti parametri di installazione:
  • -?: consente di visualizzare l'elenco dei parametri di installazione.
  • -u: modalitÓ automatica.
  • -f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • -n: consente di non eseguire il backup dei file per la disinstallazione.
  • -o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • -z: consente di non riavviare il computer al termine dell'installazione.
  • -q: modalitÓ non interattiva (senza intervento dell'utente).
  • -l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • -x: consente di estrarre i file senza eseguire il programma di installazione.
Ad esempio, con la seguente riga di comando, l'aggiornamento viene installato senza intervento dell'utente e senza richiedere il riavvio del computer:
q318138_w2k_sp3_x86_en /q /m /z
AVVISO: il computer risulterÓ vulnerabile finchÚ non sarÓ stato riavviato.

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
Data      Ora      Versione     Dimensione   Nome file e percorso
-----------------------------------------------------------------
27/04/02  00.34    4.0.2.6426   872.557      ???\fp4awel.dll
NOTA: a causa delle dipendenze fra i file, Ŕ possibile che questo aggiornamento contenga ulteriori file. L'aggiornamento richiede Windows 2000 Service Pack 2 (SP2) o Service Pack 1 (SP1).

Status

Microsoft ha confermato che questo problema pu˛ determinare una certa vulnerabilitÓ nelle funzioni di protezione dei prodotti Microsoft elencati alla fine di questo articolo. Questo problema Ŕ stato corretto nel Service Pack 4 per Microsoft Windows 2000.

Informazioni

Per ulteriori informazioni su questa vulnerabilitÓ, vedere il seguente Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/bulletin/MS02-053.mspx

ProprietÓ

Identificativo articolo: 324096 - Ultima modifica: lunedý 24 febbraio 2014 - Revisione: 4.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Chiavi:á
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com