MS02-053: Request to SmartHTML Interpreter May Monopolize Web Server CPU Resources

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 324096 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

De SmartHTML-interpreter (Shtml.dll) is een onderdeel van FrontPage-serverextensies, en biedt ondersteuning voor webformulieren en andere op FrontPage gebaseerde dynamische inhoud. De interpreter bevat een fout die optreedt wanneer deze een verzoek voor een bepaald type webbestand verwerkt en het verzoek bepaalde andere kenmerken bevat. Een dergelijk verzoek kan tot gevolg hebben dat de interpreter de beschikbare CPU-bronnen geheel of bijna geheel verbruikt tot de webservice opnieuw wordt gestart. Een kwaadwillende gebruiker zou misbruik kunnen maken van dit beveiliginplek om een denial-of-service aanval tegen een betrokken webserver uit te voeren.

Beperkende factoren

  • Dit beveiligingsprobleem kan geen andere acties op de server tot gevolg hebben. Een aanvaller kan geen gegevens op de server toevoegen, verwijderen of wijzigen.
  • Als het hulpprogramma IIS Lockdown wordt gebruikt om een statische webserver te configureren, schakelt dit de SmartHTML-interpreter uit. Dit beveiligingsprobleem doet zich niet voor op servers waarop dit hulpprogramma is gebruikt.
  • Standaard wordt FrontPage-serverextensies op Microsoft Internet Information Server 4.0 en Microsoft Internet Information Services 5.0 en 5.1 geïnstalleerd, maar het kan worden verwijderd. Dit beveiligingsprobleem kan zich niet voordoen op servers waarop Internet Information Server of Internet Information Services is verwijderd.

Oplossing

FrontPage 2002-serverextensies van Microsoft

Voor meer informatie over de beveiligingsupdate klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
329086 FrontPage 2002: Beveiligingsupdate voor FrontPage 2002-serverextensies: 25 september 2002
De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken):
   Versie       Bestandsnaam
   -------------------------
   10.0.4219.0  Fp5awel.dll
				
Microsoft adviseert verder dat u de update van FrontPage 2002-serverextensies installeert die in januari 2002 werd uitgebracht. Voor meer informatie over de update klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
317296 Overzicht van de update voor FrontPage 2002-serverextensies van 28.01.02

FrontPage 2000-serverextensies van Microsoft

Voor meer informatie over de beveiligingsupdate klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
329085 FrontPage 2000: Beveiligingsupdate voor FrontPage 2000-serverextensies: 25 september 2002
De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken):
   Versie       Bestandsnaam
   -------------------------
   4.0.2.6426   Fp4awel.dll
				

Windows XP

Microsoft heeft nu een ondersteunde correctie voor dit probleem beschikbaar gesteld. Deze correctie is echter alleen bedoeld om het probleem te verhelpen dat in dit artikel wordt beschreven. Pas de correctie alleen toe op computers waarvoor het gevaar van een aanval bestaat. Controleer de fysieke toegankelijkheid van uw computer, de netwerk- en internetverbinding en andere factoren om vast te stellen hoe kwetsbaar uw computer is. Raadpleeg het bijbehorende Microsoft-beveiligingsbulletin om de kwetsbaarheid te bepalen. Deze correctie moet wellicht extra worden getest. Als uw computer redelijk kwetsbaar is, wordt u aangeraden deze correctie nu te installeren. Als dit niet het geval is, kunt u wachten op het volgende Service Pack voor Windows XP waarin deze oplossing is opgenomen.

Als u het probleem onmiddellijk wilt verhelpen, downloadt u de oplossing door de aanwijzingen verderop in dit artikel te volgen of neemt u contact op met Microsoft Productondersteuning om de oplossing op te halen. Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website:
http://support.microsoft.com/default.aspx?scid=fh;NL;CNTACT
OPMERKING: in speciale gevallen kunnen kosten die normaal verbonden zijn aan ondersteuningsoproepen, worden geannuleerd als een medewerker van Microsoft Product Support Services van mening is dat een specifieke update de oplossing van uw probleem is. De normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking komen voor de specifieke update in kwestie.

Downloadgegevens

U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:
Engels (Amerikaans):
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Arabisch:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Chinees (Vereenvoudigd):
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Chinees (Traditioneel):
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Tsjechisch:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Deens:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Nederlands:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Fins:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Frans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Duits:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Grieks:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Hebreeuws:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Hongaars:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Italiaans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Japans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Koreaans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Noors:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Pools:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Portugees:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Portugees (Brazilië):
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Russisch:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Spaans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Zweeds:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden

Turks:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden
Releasedatum: 25.09.02

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Installatieopties

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten. Deze update kan worden geïnstalleerd met de volgende Setup-schakelopties:
  • -?: De lijst met schakelopties weergeven.
  • -u: Modus zonder toezicht gebruiken.
  • -f: Andere programma's gedwongen afsluiten wanneer de computer wordt afgesloten.
  • -n: Geen reservekopie maken voor verwijderen van installatie.
  • -o: OEM-bestanden zonder waarschuwing overschrijven.
  • -z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • -q: Stille modus gebruiken (geen interactie met de gebruiker).
  • -l: Geïnstalleerde hotfixes weergeven.
  • -x De bestanden uitpakken zonder Setup uit te voeren.
Met de volgende opdrachtregel wordt de update bijvoorbeeld geïnstalleerd zonder tussenkomst van de gebruiker en zonder automatisch opnieuw opstarten van de computer:
Q324096_wxp_sp1_x86_enu -u -q -z
WAARSCHUWING: De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van het onderdeel Datum en tijd in het Configuratiescherm.
   Datum       Tijd     Versie       Grootte  Bestandsnaam
   -------------------------------------------------------
   22-Jun-2002 10:37PM  10.0.4219.0  1382984  Fp5awel.dll
				
OPMERKING: als gevolg van bestandsafhankelijkheden kan deze update uit meerdere bestanden bestaan.


Informatie over het Windows 2000 Service Pack

De Windows 2000-versie van deze beveiligingspatch is opgenomen in Windows 2000 Service Pack 4 (SP4) voor systemen waarop FrontPage 2000-serverextensies wordt uitgevoerd. Als u een andere versie van FrontPage-serverextensies gebruikt, moet u de patch voor MS02-053 afzonderlijk installeren. U lost dit probleem op door het meest recente service pack voor Microsoft Windows 2000 te installeren. In het volgende Microsoft Knowledge Base-artikel vindt u meer informatie:
260910 Het meest recente Windows 2000 Service Pack ophalen

Informatie over Windows 2000-hotfixes

Microsoft heeft nu een ondersteunde correctie voor dit probleem beschikbaar gesteld. Deze correctie is echter alleen bedoeld om het probleem te verhelpen dat in dit artikel wordt beschreven. Pas de correctie alleen toe op computers waarvoor het gevaar van een aanval bestaat. Controleer de fysieke toegankelijkheid van uw computer, de netwerk- en internetverbinding en andere factoren om vast te stellen hoe kwetsbaar uw computer is. Raadpleeg het bijbehorende Microsoft-beveiligingsbulletin om de kwetsbaarheid te bepalen. Deze correctie moet wellicht extra worden getest. Als uw computer redelijk kwetsbaar is, wordt u aangeraden deze correctie nu te installeren. Als dit niet het geval is, kunt u wachten op het volgende Service Pack voor Windows 2000 waarin deze oplossing is opgenomen.

Als u het probleem onmiddellijk wilt verhelpen, downloadt u de oplossing door de aanwijzingen verderop in dit artikel te volgen of neemt u contact op met Microsoft Productondersteuning om de oplossing op te halen. Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website:
http://support.microsoft.com/default.aspx?scid=fh;NL;CNTACT
OPMERKING: in speciale gevallen kunnen kosten die normaal verbonden zijn aan ondersteuningsoproepen, worden geannuleerd als een medewerker van Microsoft Product Support Services van mening is dat een specifieke update de oplossing van uw probleem is. De normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking komen voor de specifieke update in kwestie.

Downloadgegevens

U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket Q324096 nu downloaden
Releasedatum: 25.09.02

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Installatieopties

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten. Deze update kan worden geïnstalleerd met de volgende Setup-schakelopties:
  • -?: De lijst met schakelopties weergeven.
  • -u: Modus zonder toezicht gebruiken.
  • -f: Andere programma's gedwongen afsluiten wanneer de computer wordt afgesloten.
  • -n: Geen reservekopie maken voor verwijderen van installatie.
  • -o: OEM-bestanden zonder waarschuwing overschrijven.
  • -z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • -q: Stille modus gebruiken (geen interactie met de gebruiker).
  • -l: Geïnstalleerde hotfixes weergeven.
  • -x De bestanden uitpakken zonder Setup uit te voeren.
Met de volgende opdrachtregel wordt de update bijvoorbeeld geïnstalleerd zonder tussenkomst van de gebruiker en zonder automatisch opnieuw opstarten van de computer:
q318138_w2k_sp3_x86_en /q /m /z
WAARSCHUWING: De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van het onderdeel Datum en tijd in het Configuratiescherm.
Datum        Tijd     Versie       Grootte  Bestandsnaam en -pad
------------------------------------------------------------------------
27-apr-2002  12:34PM  4.0.2.6426   872557   ???\fp4awel.dll
					
OPMERKING: als gevolg van bestandsafhankelijkheden kan deze update uit meerdere bestanden bestaan. Deze update vereist Windows 2000 Service Pack 2 (SP2) of Service Pack 1 (SP1).

Status

Microsoft heeft bevestigd dat dit probleem een beveiligingslek kan veroorzaken in de Microsoft-producten die aan het begin van dit artikel worden vermeld. In Windows 2000 Service Pack 4 werd voor het eerst een correctie aangeboden voor dit probleem.

Meer informatie

Als u meer informatie wilt over dit beveiligingslek, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp

Eigenschappen

Artikel ID: 324096 - Laatste beoordeling: maandag 24 februari 2014 - Wijziging: 4.2
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft FrontPage 2002-serverextensies
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Trefwoorden: 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com