MS02-053: Forespørsel til Smart HTML-tolken kan legge beslag på prosessorressurser for webserver

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 324096 - Vis produkter som denne artikkelen gjelder for.
Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.
Vis alt | Skjul alt

På denne siden

Symptom

Smart HTML-tolken (Shtml.dll) er en del av FrontPage-servertillegg og gir støtte for webskjemaer og annet FrontPage-basert dynamisk innhold. Tolken inneholder en feil som forekommer ved behandling av en forespørsel om en bestemt type webfil hvis forespørselen inkluderer visse andre egenskaper. En slik forespørsel kan føre til at tolken bruker det meste av eller all prosessortilgjengeligheten til webtjenesten startes på nytt. En angriper kan utnytte dette sikkerhetsproblemet for å utføre et tjenestenektangrep (denial of service) mot en påvirket webserver.

Begrensende faktorer

  • Sikkerhetsproblemet gir ikke mulighet til å utføre andre handlinger på serveren. Det lar ikke en angriper legge til, slette eller endre data på serveren.
  • IIS Lockdown-verktøyet, hvis det brukes til å konfigurere en statisk webserver, deaktiverer Smart HTML-tolken. Servere der dette verktøyet er brukt, påvirkes ikke av sikkerhetsproblemet.
  • Som standard installeres FrontPage-servertillegg på Microsoft Internet Information Server 4.0 og Microsoft Internet Information Services 5.0 og 5.1, men kan fjernes. Servere der Internet Information Server eller Internet Information Services er fjernet, påvirkes ikke av sikkerhetsproblemet.

Løsning

FrontPage 2002-servertillegg fra Microsoft

Hvis du vil ha mer informasjon om sikkerhetsoppdateringen, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
329086 FP2002: Sikkerhetsoppdatering for FrontPage 2002-servertillegg: 25.09.02
Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell:
   Versjon      Filnavn     
   ------------------------
   10.0.4219.0  Fp5awel.dll
				
Microsoft anbefaler også at du installerer oppdateringen for FrontPage 2002-servertillegg som ble lansert i januar 2002. Hvis du vil ha mer informasjon om oppdateringen, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
317296 Oversikt over oppdateringen for FrontPage 2002 Server Extension: 28.01.02

FrontPage 2000-servertillegg fra Microsoft

Hvis du vil ha mer informasjon om sikkerhetsoppdateringen, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
329085 FP2000: Sikkerhetsoppdatering for FrontPage 2000-servertillegg: 25.09.02
Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell:
   Versjon      Filnavn     
   ------------------------
   4.0.2.6426   Fp4awel.dll
				

Windows XP

En støttet feilrettingsfil er nå tilgjengelig fra Microsoft, men den er bare ment å løse problemet som er beskrevet i denne artikkelen. Bruk den bare på datamaskiner du mener er utsatt for angrep. Vurder datamaskinens fysiske tilgjengelighet, nettverks- og Internett-tilkobling samt andre faktorer for å finne ut hvor stor risikoen er for datamaskinen. Se den tilknyttede sikkerhetsbulletinen fra Microsoft for å få hjelp til å fastslå risikograden. Reparasjonen kan utsettes for ytterligere testing. Hvis datamaskinen er tilstrekkelig utsatt, anbefaler Microsoft at du installerer denne reparasjonen nå. Ellers venter du på neste Windows XP som inneholder denne reparasjonen.

Hvis du vil løse dette problemet øyeblikkelig, laster du ned reparasjonen ved å følge instruksjonene senere i denne artikkelen, eller du kontakter Microsoft Kundestøtte for å skaffe reparasjonen. Hvis du vil ha en fullstendig liste over telefonnumre for Microsoft Kundestøtte og informasjon om støttekostnader, besøker du følgende webområde for Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;NO-NO;CNTACTMS
Obs!  I noen tilfeller kan det hende at avgifter som vanligvis påløper for kundestøttesamtaler, faller bort hvis en Microsoft-tekniker avgjør at en bestemt oppdatering løser problemet. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av den gjeldende oppdateringen.

Nedlastingsinformasjon

Følgende filer kan lastes ned fra Microsoft Download Center:
Engelsk (USA):
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Arabisk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Kinesisk (forenklet):
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Kinesisk (tradisjonell):
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Tsjekkisk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Dansk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Nederlandsk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Finsk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Fransk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Tysk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Gresk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Hebraisk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Ungarsk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Italiensk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Japansk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Koreansk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Norsk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Polsk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Portugisisk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Portugisisk (Brasil)
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Russisk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Spansk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Svensk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå

Tyrkisk:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå
Utgivelsesdato: 25.09.02

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Installasjonsalternativer

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen. Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • -?: Viser listen over kommandolinjebrytere for installasjonsprogrammet.
  • -u: Uovervåket modus.
  • -f: Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • -n: Ikke sikkerhetskopier filer som skal fjernes.
  • -o: Skriv over OEM-filer uten å spørre.
  • -z: Ikke start maskinen på nytt når installasjonen er fullført.
  • -q: Stille modus (ingen brukermedvirkning).
  • -l: List opp installerte hurtigreparasjoner.
  • -x Pakker ut filene uten å kjøre installasjonsprogrammet.
Denne kommandolinjen installerer for eksempel oppdateringen uten noen brukermedvirkning, og datamaskinen må ikke startes på nytt etterpå:
Q324096_wxp_sp1_x86_enu -u -q -z
Advarsel! : Datamaskinen er sårbar inntil du starter den på nytt.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.
   Dato         Tid    Versjon        Størrelse   Filnavn
   ------------------------------------------------------
   22.06.02 10:37PM  10.0.4219.0  1 382 984  Fp5awel.dll
				
Obs!  Denne oppdateringen kan, som følge av filavhengigheter, inkludere flere filer.


Informasjon om oppdateringspakke for Windows 2000

Windows 2000-versjonen av denne sikkerhetsoppdateringen er inkludert i Windows 2000 Service Pack 4 (SP4) for systemer som kjører FrontPage 2000 Server Extensions. Hvis du bruker en annen versjon av FrontPage-servertillegg, må du installere oppdateringen for MS02-053 separat. For å løse dette problemet anskaffer du den siste oppdateringspakken for Microsoft Windows 2000. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
260910 Slik får du tak i den seneste oppdateringspakken for Windows 2000

Informasjon om hurtigreparasjon for Windows 2000

En støttet feilrettingsfil er nå tilgjengelig fra Microsoft, men den er bare ment å løse problemet som er beskrevet i denne artikkelen. Bruk den bare på datamaskiner du mener er utsatt for angrep. Vurder datamaskinens fysiske tilgjengelighet, nettverks- og Internett-tilkobling samt andre faktorer for å finne ut hvor stor risikoen er for datamaskinen. Se den tilknyttede sikkerhetsbulletinen fra Microsoft for å få hjelp til å fastslå risikograden. Reparasjonen kan utsettes for ytterligere testing. Hvis datamaskinen er tilstrekkelig utsatt, anbefaler Microsoft at du installerer denne reparasjonen nå. Ellers venter du på neste Windows 2000 som inneholder denne reparasjonen.

Hvis du vil løse dette problemet øyeblikkelig, laster du ned reparasjonen ved å følge instruksjonene senere i denne artikkelen, eller du kontakter Microsoft Kundestøtte for å skaffe reparasjonen. Hvis du vil ha en fullstendig liste over telefonnumre for Microsoft Kundestøtte og informasjon om støttekostnader, besøker du følgende webområde for Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;NO-NO;CNTACTMS
Obs!  I noen tilfeller kan det hende at avgifter som vanligvis påløper for kundestøttesamtaler, faller bort hvis en Microsoft-tekniker avgjør at en bestemt oppdatering løser problemet. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av den gjeldende oppdateringen.

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center:
Skjul dette bildetVis dette bildet
Last ned
Last ned Q324096-pakken nå
Utgivelsesdato: 25.09.02

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Installasjonsalternativer

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen. Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • -?: Viser listen over kommandolinjebrytere for installasjonsprogrammet.
  • -u: Uovervåket modus.
  • -f: Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • -n: Ikke sikkerhetskopier filer som skal fjernes.
  • -o: Skriv over OEM-filer uten å spørre.
  • -z: Ikke start maskinen på nytt når installasjonen er fullført.
  • -q: Stille modus (ingen brukermedvirkning).
  • -l: List opp installerte hurtigreparasjoner.
  • -x Pakker ut filene uten å kjøre installasjonsprogrammet.
Denne kommandolinjen installerer for eksempel oppdateringen uten noen brukermedvirkning, og datamaskinen må ikke startes på nytt etterpå:
q318138_w2k_sp3_x86_en /q /m /z
Advarsel! : Datamaskinen er sårbar inntil du starter den på nytt.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.
Dato     Tid      Versjon      Størrelse  Filnavn og bane
------------------------------------------------------------------------
27.04.02  12:34PM  4.0.2.6426   872 557   ???\fp4awel.dll
					
Obs!  Denne oppdateringen kan, som følge av filavhengigheter, inkludere flere filer. Denne oppdateringen krever Windows 2000 Service Pack 2 (SP2) eller Service Pack 1 (SP1).

Status

Microsoft har bekreftet at dette problemet kan forårsake et visst sikkerhetsproblem i Microsoft-produktene som er oppført i begynnelsen av denne artikkelen. Denne feilen ble først rettet opp i Microsoft Windows 2000 Service Pack 4.

Mer informasjon

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp

Egenskaper

Artikkel-ID: 324096 - Forrige gjennomgang: 24. februar 2014 - Gjennomgang: 4.2
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Nøkkelord: 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com