MS02-053:對 SmartHTML 直譯器的要求可能會獨佔網路伺服器 CPU 資源

文章翻譯 文章翻譯
文章編號: 324096 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

SmartHTML 直譯器 (Shtml.dll) 是 FrontPage Server Extensions 的一部份,能夠支援網路表單及其他 FrontPage 的動態內容。直譯器處理某些特殊類型的網路檔案的要求時,如果這項要求包含一些其他字元,就會產生弱點,這樣的要求將導致直譯器消耗大部分 (或全部) CPU 的可用性,直到網路服務重新啟動為止。攻擊者可能會運用這項弱點,針對受影響的網路伺服器,執行拒絕服務的攻擊。

緩和因素

  • 這項弱點並未提供任何方式,可以對伺服器採取任何更廣泛的攻擊行動;它不允許攻擊者新增、刪除或修改伺服器的資料。
  • 如果使用 IIS 鎖定工具 來設定靜態網路伺服器,就會關閉 SmartHTML 直譯器。已經使用這項工具的伺服器就不會受到此弱點的影響。
  • 根據預設值,FrontPage Server Extensions 是安裝於 Microsoft Internet Information Server 4.0、Internet Information Services 5.0 及 5.1,但也可以將其移除。已經移除 Internet Information Server 或 Internet Information Services 的伺服器,將不受這項弱點的影響。

解決方案

Microsoft FrontPage 2002 Server Extensions

如需其他有關這項安全性更新程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
329086 FP2002:FrontPage 2002 Server Extensions Security Update:September 25, 2002
此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新)。
摺疊此表格展開此表格
版本檔名
10.0.4219.0Fp5awel.dll
Microsoft 也建議您安裝 2002 年 1 月發佈的 FrontPage 2002 Server Extensions 更新。如需其他有關這項更新程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
317296 Overview of the FrontPage 2002 Server Extension Update:January 28, 2002

Microsoft FrontPage 2000 Server Extensions

如需其他有關這項安全性更新程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
329085 FP2002:FrontPage 2000 Server Extensions Security Update:September 25, 2002
此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新)。
摺疊此表格展開此表格
版本檔名
4.0.2.6426Fp4awel.dll

Windows XP

目前 Microsoft 已提供支援的修正程式,但是其目的只為修正本文中所描述的問題。請只在您判斷可能會受到攻擊的電腦上套用這個修正程式。請評估電腦的實體取得性、網路和網際網路連線能力,以及其他因素,以便判斷電腦可能受到攻擊的風險等級。請參閱相關的 Microsoft 安全性公告,以協助判斷風險等級。這個修正程式可能還需要測試。如果確定電腦遭受攻擊的風險相當大,Microsoft 建議您立即套用這個修正程式。否則請等候下一版包含此修正程式的 Windows XP。

如果要立即解決此問題,請依照本文稍後所示的步驟下載此修正程式,或是與「Microsoft 技術支援處」聯絡,以取得此修正程式。如需「Microsoft 技術支援處」完整的電話號碼清單和支援費用的相關資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
注意:在某些特殊情況下,如果 「Microsoft 技術支援工程師」認為某特定更新程式可以解決您的問題時,可能就不會收取一般因支援電話所產生的費用。一般來說,如果有其他支援問題是所描述的特定更新程式無法解決的,才會收取支援費用。

下載資訊

您可以從「Microsoft 下載中心」下載下列檔案:
英文 (美國):
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

阿拉伯文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

中文 (中國):
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

中文 (台灣):
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

捷克文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

丹麥文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

荷蘭文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

芬蘭文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

法文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

德文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

希臘文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

希伯來文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

匈牙利文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

義大利文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

日文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

韓文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

挪威文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

波蘭文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

葡萄牙文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

葡萄牙文 (巴西):
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

俄文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

西班牙文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

瑞典文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件

土耳其文:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件
發行日期:2002 年 9 月 25 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

安裝選項

您必須在套用這項更新程式之後重新啟動電腦。這項更新程式支援下列安裝程式參數:
  • -?:顯示安裝程式參數清單。
  • -u:自動安裝模式。
  • -f:當電腦關機時,強制其他程式結束。
  • -n:不備份移除的檔案。
  • -o:不先提示,直接覆寫 OEM 檔案。
  • -z:安裝完成時不重新啟動電腦。
  • -q:無訊息模式 (無使用者互動)。
  • -l:列出已安裝的 Hotfix。
  • -x 解壓縮檔案時,不執行安裝程式。
例如,下面的命令列會安裝更新程式,但不需要任何使用者互動,且不會強制電腦重新啟動:
Q324096_wxp_sp1_x86_enu -u -q -z
警告:除非您重新啟動,否則您的電腦仍然容易遭受攻擊。

檔案資訊

此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示,當您檢視檔案資訊時,它會轉換為當地時間,如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。
摺疊此表格展開此表格
日期時間版本大小檔名
22-Jun-200210:37PM10.0.4219.01382984Fp5awel.dll
注意:由於檔案相依性,這項更新程式可能包含其他檔案。


Windows 2000 Service Pack 資訊

這項安全性補充程式的 Windows 2000 版本,包括在 Windows 2000 Service Pack 4 (SP4) 中,主要是提供給執行 FrontPage 2000 Server Extensions 的系統使用。如果您使用任何其他的 FrontPage Server Extensions 版本,必須另外單獨安裝 MS02-053 補充程式。 如果要解決這個問題,請取得最新版的 Microsoft Windows 2000 Service Pack。如需其他詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
260910 如何取得最新版的 Windows 2000 Service Pack

Windows 2000 Hotfix 資訊

目前 Microsoft 已提供支援的修正程式,但是其目的只為修正本文中所描述的問題。請只在您判斷可能會受到攻擊的電腦上套用這個修正程式。請評估電腦的實體取得性、網路和網際網路連線能力,以及其他因素,以便判斷電腦可能受到攻擊的風險等級。請參閱相關的 Microsoft 安全性公告,以協助判斷風險等級。這個修正程式可能還需要測試。如果確定電腦遭受攻擊的風險相當大,Microsoft 建議您立即套用這個修正程式。否則請等候下一版包含此修正程式的 Windows 2000。

如果要立即解決此問題,請依照本文稍後所示的步驟下載此修正程式,或是與「Microsoft 技術支援處」聯絡,以取得此修正程式。如需「Microsoft 技術支援處」完整的電話號碼清單和支援費用的相關資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
注意:在某些特殊情況下,如果 「Microsoft 技術支援工程師」認為某特定更新程式可以解決您的問題時,可能就不會收取一般因支援電話所產生的費用。一般來說,如果有其他支援問題是所描述的特定更新程式無法解決的,才會收取支援費用。

下載資訊

您可以從「Microsoft 下載中心」下載下列檔案:
摺疊此圖像展開此圖像
下載
立即下載 Q324096 套件
發行日期:2002 年 9 月 25 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

安裝選項

您必須在套用這個更新程式之後重新啟動電腦。這個更新程式支援下列安裝程式參數:
  • -?:顯示安裝程式參數清單。
  • -u:自動安裝模式。
  • -f:當電腦關機時,強制其他程式結束。
  • -n:不備份移除的檔案。
  • -o:不先提示,直接覆寫 OEM 檔案。
  • -z:安裝完成時不重新啟動電腦。
  • -q:無訊息模式 (無使用者互動)。
  • -l:列出已安裝的 Hotfix。
  • -x 解壓縮檔案時,不執行安裝程式。
例如,下面的命令列會安裝更新程式,但不需要任何使用者互動,且不會強制電腦重新啟動:
q329834_w2k_sp4_x86_en /q /m /z
警告:除非您重新啟動,否則您的電腦仍然容易遭受攻擊。

檔案資訊

此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示,當您檢視檔案資訊時,它會轉換為當地時間,如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。
摺疊此表格展開此表格
日期時間版本大小檔名與路徑
27-Apr-200212:34PM4.0.2.6426872557???\fp4awel.dll
注意:由於檔案相依性,這項更新程式可能包含其他檔案。這項更新程式必須安裝於 Windows 2000 Service Pack 2 (SP2)Service Pack 1 (SP1)

狀況說明

Microsoft 已確認這項問題將在本篇文章開頭所列之 Microsoft 產品中造成一定程度的安全性弱點。 本問題在 Windows 2000 Service Pack 4 中獲得第一次修正。

其他相關資訊

如需更多有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/bulletin/MS02-053.mspx

屬性

文章編號: 324096 - 上次校閱: 2014年2月24日 - 版次: 4.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional Edition (商用版)
關鍵字:?
kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com