MS02-062: Outubro de 2002 Patch cumulativo para o Internet Information Services

A Microsoft disponibilizou um patch cumulativo para o Internet Information Server (IIS) 4.0, serviços de informação Internet (IIS) 5.0 e IIS 5.1 que inclui actualizações para os problemas descritos nos seguintes artigos da base de dados de conhecimento da Microsoft: Este patch inclui não só patches de segurança disponibilizadas anteriormente, mas também correcções para as seguintes vulnerabilidades de segurança recentemente descobertas que afectam o IIS 4.0, 5.0 e 5.1:

• Uma vulnerabilidade de elevação de privilégios que afecta as ISAPI de forma são iniciados quando um IIS 4.0, o servidor 5.0 e 5.1 estiver configurado para executá-los fora do processo. Por predefinição, o processo anfitrião (DLLHost.exe) é executado apenas no contexto de segurança da conta IWAM_nomecomputador; no entanto, na realidade, podem ser feita para adquirir privilégios de sistema local em determinadas circunstâncias, permitindo assim uma ISAPI fazer do mesmo modo.
• Uma vulnerabilidade de negação de serviço que resulta devido a uma falha na forma como o IIS 5.0 e 5.1 atribuir memória para pedidos de WebDAV. Se um pedido WebDAV mal formado de uma determinada forma, o IIS atribui uma quantidade extremamente grande de memória no servidor. Ao enviar várias estes pedidos, um intruso pode provocar a falha do servidor.
• Uma vulnerabilidade que envolve o funcionamento da permissão de acesso de origem de script no IIS 5.0. Esta permissão funciona em conjunto com as permissões de típica leitura/escrita para um directório virtual e controla se os scripts, ficheiros .asp e tipos de ficheiros executáveis podem ser enviados para um directório virtual leitura. Um erro de tipográficos da tabela que define os tipos de ficheiro estão sujeitas a esta permissão omite .com ficheiros da lista de ficheiros sujeitos à permissão. Como resultado, um utilizador tem acesso de escrita apenas a enviar um ficheiro.
• Um par de vulnerabilidades de execução de scripts de acesso a sites (CSS) que afectam o IIS 4.0, 5.0 e 5.1 e envolver a página Web administrativa. Cada uma destas vulnerabilidades tem o mesmo âmbito e o efeito: quando um utilizador clica numa hiperligação no Web site do intruso, o intruso pode reencaminhar um pedido que contém o script para um outro Web site com o IIS, assim a causar resposta o site de terceiros (que inclui ainda o script) seja enviado para o utilizador. O script depois apresenta utilizando definições de segurança do site de terceiros em vez do site do intruso.

Além disso, o patch faz com que o IIS 5.0 e 5.1 alterar a frequência na lista de backlog socket - que, quando são atribuídas a todas as ligações num servidor, contém a lista de pedidos de ligação pendentes - está desmarcada. O patch altera o IIS para limpar a lista mais frequentemente para facilitar mais resistentes a ataques de congestionamento. Backlog monitorização funcionalidade não está presente no IIS 4.0.

Nota Estes patches não incluem correcções para vulnerabilidades que envolvam produtos diferentes do IIS, como o as extensões de servidor do FrontPage da Microsoft e o Microsoft Index Server, embora estes produtos estão intimamente associados com IIS e sejam normalmente instalados nos servidores de IIS. Existe, no entanto, uma excepção. A correcção para a vulnerabilidade que afecta o Index Server, que é discutida no Microsoft Security Bulletin MS01-033, é incluída neste patch devido a gravidade do problema para servidores de IIS. Na altura em que este artigo foi escrito, os boletins de segurança Microsoft que abordam estas vulnerabilidades são os seguintes: Todas as correcções listadas anteriormente e patches cumulativos estão incluídos no Windows 2000 Service Pack 3. Para obter informações adicionais sobre o service pack mais recente para o Windows 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Nota As correcções para as seguintes vulnerabilidades que afectam o IIS 4.0 não são incluídas no patch uma vez que requerem acções administrativas em vez de uma alteração de software. Os administradores devem certificar-se que que não só aplicam este patch, mas também efectuam as acções administrativas descritas nos seguintes boletins:

Informação sobre o Windows XP service pack

Para resolver este problema, obtenha o service pack mais recente para o Microsoft Windows XP. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Informações sobre o Windows 2000 service pack

Para resolver este problema, obtenha o service pack mais recente para o Microsoft Windows 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Informações sobre a correcção

• Internet Information Services 5.1
• Internet Information Services 5.0
• Internet Information Server 4.0

Serviços de informação Internet 5.1

Agora é disponibilizada pela Microsoft uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que considere estarem em risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade da Internet e outros factores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin associado para ajudar a determinar o grau de risco. Esta correcção poderá submetida a testes adicionais. Se o computador está suficientemente em risco, recomendamos que aplique esta correcção agora.

Para resolver este problema imediatamente, transfira a correcção, seguindo as instruções deste artigo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa de números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft: Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados, se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão.

Transferir informações

Os ficheiros seguintes estão disponíveis para transferência a partir do Centro de transferências da Microsoft:

Windows XP Professional Windows XP 64-Bit Edition Data de edição: 30 de Outubro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Microsoft procedeu de vírus neste ficheiro. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o ficheiro foi publicado. O ficheiro é alojado em servidores com segurança avançada que o ajudam a impedir alterações não autorizadas ao ficheiro.

Informações de instalação

Se for apresentada uma caixa de diálogo a indicar que tem de reiniciar o computador depois de aplicar esta actualização, pode ignorá-la com segurança. Esta actualização suporta os seguintes parâmetros de configuração:

• /? Apresenta a lista de parâmetros de instalação.
• /u Modo automático.
• /f Obrigar outros programas a fechar quando o computador é encerrado.
• /n Fazer cópias de segurança não de ficheiros para remoção.
• /o Substitui ficheiros OEM sem pedir confirmação.
• /z Não reinicia quando a instalação é concluída.
• /q Modo silencioso (sem interacção do utilizador).
• /l Lista hotfixes instalados.
• /x Extrai os ficheiros sem executar o programa de configuração.

Por exemplo, a seguinte linha de comandos instala a actualização sem qualquer intervenção do utilizador e não força o reinício do computador:

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas no formato de universal hora (UTC) coordenada Coordinated. Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário na ferramenta Data e hora no painel de controlo.

Windows XP Professional

Os seguintes ficheiros são instalados na pasta %WINDIR%\System32\inetsrv: os seguintes ficheiros são instalados na pasta %WINDIR%\Help\iisHelp\iis\misc: Windows XP 64-Bit Edition

Os seguintes ficheiros são instalados na pasta %WINDIR%\System32\inetsrv: os seguintes ficheiros são instalados na pasta %WINDIR%\Help\iisHelp\iis\misc:

Serviços de informação Internet 5.0

Agora é disponibilizada pela Microsoft uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que considere estarem em risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade da Internet e outros factores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin associado para ajudar a determinar o grau de risco. Esta correcção poderá submetida a testes adicionais. Se o computador está suficientemente em risco, recomendamos que aplique esta correcção agora.

Para resolver este problema imediatamente, transfira a correcção, seguindo as instruções deste artigo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa de números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft: Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados, se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão.

Transferir informações

Os ficheiros seguintes estão disponíveis para transferência a partir do Centro de transferências da Microsoft:
Data de edição: 30 de Outubro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Microsoft procedeu de vírus neste ficheiro. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o ficheiro foi publicado. O ficheiro é alojado em servidores com segurança avançada que o ajudam a impedir alterações não autorizadas ao ficheiro.

Informações de instalação

Porque de dependências de ficheiros, esta actualização requer o Windows 2000 Service Pack 2 (SP2) ou Service Pack 3 (SP3). Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Clientes que utilizam o Site Server devem ter em atenção que um problema documentado anteriormente que envolve erros de autenticação intermitentes afecta este e um pequeno número de outros patches. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Não é necessário reiniciar o computador depois de aplicar esta actualização. Esta actualização suporta os seguintes parâmetros de configuração:

• /? Apresenta a lista de parâmetros de instalação.
• /u Modo automático.
• /f Obrigar outros programas a fechar quando o computador é encerrado.
• /n Fazer cópias de segurança não de ficheiros para remoção.
• /o Substitui ficheiros OEM sem pedir confirmação.
• /z Não reinicia quando a instalação é concluída.
• /q Modo silencioso (sem interacção do utilizador).
• /l Lista hotfixes instalados.
• /x Extrai os ficheiros sem executar o programa de configuração.

Por exemplo, a seguinte linha de comandos instala a actualização sem qualquer intervenção do utilizador e não força o reinício do computador:

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas no formato de universal hora (UTC) coordenada Coordinated. Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário na ferramenta Data e hora no painel de controlo.

Os seguintes ficheiros são instalados na pasta %Windir%\System32\: o seguinte ficheiro é instalado na pasta Program Files\Microsoft Shared\Web Server Extensions\40\bin: os seguintes ficheiros são instalados na pasta %WINDIR%\Help\iisHelp\iis\misc: os seguintes ficheiros são instalados na pasta %Windir%\System32\inetsrv:

Internet Information Server 4.0

Agora é disponibilizada pela Microsoft uma correcção suportada, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que considere estarem em risco de ataque. Avalie a acessibilidade física do computador, rede e conectividade da Internet e outros factores para determinar o grau de risco para o computador. Consulte o Microsoft Security Bulletin associado para ajudar a determinar o grau de risco. Esta correcção poderá submetida a testes adicionais. Se o computador está suficientemente em risco, recomendamos que aplique esta correcção agora.

Para resolver este problema imediatamente, transfira a correcção, seguindo as instruções deste artigo ou contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa de números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft: Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados, se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem na atualização específica em questão. Antes de aplicar esta actualização, cópias de segurança da metabase. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Transferir informações

O ficheiro seguinte está disponível para transferência a partir do Centro de transferências da Microsoft:
Data de edição: 30 de Outubro de 2002

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Microsoft procedeu de vírus neste ficheiro. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o ficheiro foi publicado. O ficheiro é alojado em servidores com segurança avançada que o ajudam a impedir alterações não autorizadas ao ficheiro.

Informações de instalação

Esta actualização requer o Windows NT 4.0 Service Pack 6a. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para instalar este patch sem reiniciar o computador, siga estes passos:

1. Pare todos os serviços do IIS.
2. Instale o patch com a correcção com o parâmetro /z .
3. Reinicie os serviços IIS.

Esta actualização suporta os seguintes parâmetros de configuração:

• /x Extrair os ficheiros para instalação posterior
• /y Executar a desinstalação (apenas com /m ou /q)
• /f Forçar as aplicações a fechar no encerramento
• /n Não crie desinstalar directório
• /z Não reinicia quando a actualização é concluída
• /q Modo silencioso ? sem interface do utilizador
• /m Modo automático
• /l Lista instalada correcções

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas no formato de universal hora (UTC) coordenada Coordinated. Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário na ferramenta Data e hora no painel de controlo.

Os seguintes ficheiros são instalados na pasta %WINDIR%\System32\inetsrv\ (salvo indicação em contrário): NOTA: devido a dependências de ficheiros, esta actualização poderá conter ficheiros adicionais.

Windows NT Server 4.0, Terminal Server Edition Internet Information Server 4.0 faz parte do Windows NT 4.0 Option Pack. O Option Pack não é suportado no Windows NT Server 4.0, Terminal Server Edition. Correcções para o IIS 4.0 foram fornecidas como parte do Windows NT Server 4.0, Terminal Server Edition Security Rollup Package (SRP) apenas para clientes que instalaram o Option Pack para proteger os respectivos computadores durante a migração para um sistema operativo suportado. Para obter informações adicionais sobre o SRP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança nos produtos da Microsoft listados na secção "Aplica-se a". Este problema foi corrigido pela primeira vez no Microsoft Windows XP Service Pack 2. Este problema foi corrigido pela primeira vez no Microsoft Windows 2000 Service Pack 4.

Para mais informações sobre esta vulnerabilidade, visite o seguinte Web site da Microsoft: