MS03-018: Kumulativer Patch für Internet-Informationsdienste (IIS) vom Mai 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 811114 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
811114 MS03-018: May 2003 Cumulative Patch for Internet Information Services (IIS)
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Microsoft hat einen kumulativen Patch für Internet Information Server (IIS) 4.0, Internet Information Services (Internet-Informationsdienste/IIS) 5.0 und IIS 5.1 freigegeben. Dieser Patch beinhaltet die Funktionalität aller Sicherheitspatches für IIS 4.0 nach Windows NT 4.0 Service Pack 6a (SP6a), die Funktionalität alle Sicherheitspatches für IIS 5.0 nach Windows 2000 Service Pack 2 (SP2) sowie die Funktionalität aller Sicherheitspatches, die bisher für IIS 5.1 freigegeben worden sind. Außerdem behebt dieser Patch die folgenden kürzlich entdeckten Sicherheitsanfälligkeiten, von denen IIS 4.0, 5.0 und 5.1 betroffen sind:
  • Eine Sicherheitsanfälligkeit in Bezug auf ein mögliches Cross-Site Scripting (CSS), von der IIS 4.0, 5.0 und 5.1 betroffen sind. Teil dieser Sicherheitsanfälligkeit ist die Fehlermeldung, durch die der Benutzer informiert wird, dass ein angeforderter URL umgeleitet wurde. Falls ein Angreifer einen Benutzer dazu verleiten kann, einen Link auf seiner Website anzuklicken, könnte er eine Anforderung mit einem Skript auf die Website eines Fremdanbieters umleiten, auf der IIS ausgeführt wird. Diese Anforderung könnte bewirken, dass die Antwort durch die Website des Fremdanbieters (die immer noch das besagte Skript beinhaltet) an den Benutzer gesendet wird. Dieses Skript könnte dann unter Anwendung der Sicherheitseinstellungen der Fremdanbieter-Website ausgeführt werden (statt im Kontext der Sicherheitseinstellungen, die für die Website des Angreifers gelten).
  • Der Patch behebt ein Problem in Bezug auf einen möglichen Pufferüberlauf durch eine inkorrekte Überprüfung von als serverseitige Includeseiten bezeichneten Webseiten durch IIS 5.0. Ein Angreifer müsste zunächst die Berechtigung haben, eine serverseitige Includeseite per Upload auf einen gefährdeten IIS-Server zu übertragen. Wenn der Angreifer diese Seite anschließend anfordert, kann es zu einem Pufferüberlauf kommen. Dieser Pufferüberlauf würde es dem Angreifer ermöglichen, einen Code seiner Wahl mit den Berechtigungen des jeweiligen Benutzers auf dem Server ausführen zu lassen.
  • Eine Sicherheitsanfälligkeit vom Typ "Denial-of-Service", die durch einen Fehler bei der Zuweisung von Speicheranforderungen durch IIS 4.0 und 5.0 beim Erstellen von Headern (für die Antwort an einen Webclient) verursacht wird. Ein Angreifer müsste zunächst die Berechtigung haben, eine ASP-Seite per Upload auf einen gefährdeten IIS-Server zu übertragen. Diese ASP-Seite würde dann bei Aufruf durch den Angreifer versuchen, einen sehr großen Header an den anfordernden Webclient zurückzugeben. Da die verfügbare Speichermenge in diesem Fall nicht durch IIS beschränkt wird, kann dies zu einem "Denial-of-Service" von IIS durch eine vollständige Auslastung des Arbeitsspeichers führen.
  • Eine Sicherheitsanfälligkeit des Typs "Denial-of-Service" in IIS 5.0 und 5.1, die ihre Ursache darin hat, dass eine Fehlerbedingung nicht korrekt verarbeitet wird, wenn eine überlange WebDAV-Anforderung an diese Dienste übergeben wird. Als Ergebnis könnte ein Angreifer das Fehlschlagen von IIS bewirken. IIS 5.0 und 5.1 werden jedoch standardmäßig unmittelbar nach diesem Fehler neu gestartet.
Schadensbegrenzende Faktoren in Bezug auf eine mögliche Umleitung von Cross-Site Scripting:
  • IIS 6.0 ist nicht betroffen.
  • Diese Sicherheitsanfälligkeit kann nur ausgenutzt werden, wenn ein Angreifer einen Benutzer dazu verleiten kann, eine bestimmte Webseite zu besuchen und dort auf einen Link zu klicken oder eine E-Mail im HTML-Format zu öffnen.
  • Die Zielseite muss eine ASP-Seite sein, die Response.Redirect zum Umleiten des Clients an einen neuen URL verwendet, der auf dem eingehenden URL der aktuellen Anforderung basiert.
Schadensbegrenzende Faktoren für Pufferüberlauf durch serverseitige Includewebdateien:
  • IIS 4.0, IIS 5.1 und IIS 6.0 sind nicht betroffen.
  • Das IIS Lockdown-Tool deaktiviert standardmäßig die Zuordnung der Datei "Ssinc.dll" (http://www.microsoft.com/technet/security/tools/locktool.mspx). Diese Einstellung verhindert einen Angriff dieser Art.
  • Standardmäßig wird IIS 5.0 unter einem Benutzerkonto und nicht mit dem Systemkonto ausgeführt. Aus diesem Grund erhält ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, nur Berechtigungen auf Benutzerebene und nicht auf Administratorebene.
  • Ein Angreifer muss die Dateien außerdem per Upload auf den IIS-Server übertragen können.
Schadensbegrenzende Faktoren für Denial-of-Service-Angriff mithilfe von Headern:
  • IIS 5.1 ist nicht betroffen.
  • Ein Angreifer muss Dateien per Upload auf den IIS-Server übertragen können.
  • IIS 5.0 startet nach diesem Fehler automatisch neu.
Schadensbegrenzende Faktoren für Denial-of-Service-Angriff via WebDAV:
  • IIS 6.0 ist nicht betroffen.
  • IIS 5.0 und 5.1 werden nach diesem Fehler automatisch neu gestartet.
  • Das IIS Lockdown-Tool deaktiviert WebDAV standardmäßig (http://www.microsoft.com/technet/security/tools/locktool.mspx). Diese Einstellung verhindert einen Angriff dieser Art.

Lösung

Achtung: Falls Sie über eine unter IIS ausgeführte Anwendung verfügen, durch die das IIS-Metabasisschema erweitert wird, können durch das Installieren des Sicherheitspatches diese Erweiterungen entfernt werden. Dies kann zur Folge haben, dass Ihre Anwendung nicht mehr einwandfrei funktioniert. Wenden Sie sich an den betreffenden Fremdanbieter, um zu ermitteln, ob dessen Anwendung das Metabasisschema erweitert.

Von den folgenden ProClarity-Produkten ist bekannt, dass sie von den Sicherheitsanfälligkeiten betroffen sind, die durch diesen Patch beseitigt werden:
  • ProClarity Enterprise Server 4.0 und höher
  • ProClarity Analytics Server 5.0, 5.1 und 5.2
Nutzen Sie eine der folgenden Optionen, um das Problem zu beheben, BEVOR Sie den kumulativen Patch anwenden:
  • Erstellen Sie eine Sicherungskopie der Metabasis, installieren Sie den Patch, und stellen Sie danach die Metabasis wieder her. (Microsoft kann diese Vorgehensweise wegen möglicher Kompatibilitätsprobleme jedoch nicht empfehlen.)

    Weitere Informationen zum Erstellen einer Sicherungskopie der Metabasis finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    302573 SO WIRD'S GEMACHT: Sichern und Wiederherstellen von IIS
  • Installieren Sie Microsoft Windows 2000 Service Pack 4 (SP4). Windows 2000 SP4 beinhaltet den hier beschriebenen Sicherheitspatch.
  • Wenden Sie sich an die Microsoft Product Support Services, um einen Hotfix zur Behebung dieses Problems zu beziehen.
Falls Sie den Sicherheitspatch bereits installiert haben und weiterhin Probleme mit der Anwendung auftreten, die das IIS-Metabasisschema erweitert, muss diese Anwendung das Metabasisschema erneut erweitern. Dazu kann eine Neuinstallation des Produkts erforderlich sein.

Sicherheitspatch-Informationen

Weitere Informationen zur Beseitigung dieser Sicherheitsanfälligkeit finden Sie in den folgenden Abschnitten dieses Artikels (klicken Sie auf den Namen eines Abschnitts, um diesen einzusehen):

Internet-Informationsdienste 5.1

Informationen zum Download

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:

Windows XP Professional (alle Sprachversionen)
Bild minimierenBild vergrößern
Download
Paket 811114 jetzt downloaden.
Windows XP 64-Bit Edition (alle Sprachversionen):
Bild minimierenBild vergrößern
Download
Paket 811114 jetzt downloaden.
Datum der Freigabe: 28.05.2003

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Bevor Sie diesen Patch installieren, müssen Sie den Patch "329115" installieren. Falls der Patch "329115" nicht vorhanden ist, werden clientseitige Zertifikate nicht akzeptiert. Sie können diese Funktionalität wiederherstellen, indem Sie den Patch "329115" installieren. Weitere Informationen zu dem Patch "329115" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
329115 MS02-050: Sicherheitsanfälligkeit in Zertifikatsprüfung ermöglicht vorgetäuschte Identität
Dieser Patch erfordert die Verkaufsversion von Windows XP oder Windows XP Service Pack 1 (SP1). Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
322389 Wie Sie das neueste Service Pack für Windows XP erhalten
Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:
  • /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
  • /u: Unbeaufsichtigter Modus.
  • /f: Erzwingt beim Herunterfahren des Computers das Beenden der anderen Programme.
  • /n: Keine Sicherungsdateien für eine Deinstallation erstellen.
  • /o: Überschreibt OEM-Dateien ohne Nachfrage.
  • /z: Nach vollständiger Installation erfolgt kein Neustart.
  • /q: Stiller Modus (keine Nachfrage beim Benutzer).
  • /l: Listet die installierten Hotfixes auf.
  • /x: Extrahiert die Dateien, ohne Setup auszuführen.
Wenn der folgende Registrierungsschlüssel vorhanden ist, ist der Patch auf Ihrem Computer installiert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q811114
Hinweise zur Anwendung

Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind:
q811114_wxp_sp2_x86_deu /u /q
Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist:
q811114_wxp_sp2_x86_deu /z
Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert werden.

Weitere Informationen zur Bereitstellung dieses Patch mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Patch installiert haben. Falls ein Dialogfeld angezeigt wird, das besagt, dass Sie Ihren Computer nach der Patchanwendung neu starten müssen, können Sie diese Aufforderung unbesorgt ignorieren.

Informationen zur Deinstallation

Verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung, um diesen Patch zu deinstallieren.

Systemadministratoren können den Patch mithilfe des Dienstprogramms "Spunist.exe" entfernen. "Spuninst.exe" befindet sich im Ordner "%WINDIR%\$NTUninstallQ811114$\Spuninst" und unterstützt die folgenden Setup-Optionen:
  • /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
  • /u: Unbeaufsichtigter Modus.
  • /f: Erzwingt beim Herunterfahren des Computers das Beenden der anderen Programme.
  • /z: Nach vollständiger Installation erfolgt kein Neustart.
  • /q: Stiller Modus (keine Nachfrage beim Benutzer).
Ersetzte Patches

Dieser Patch ersetzt die Patches aus den folgenden Artikeln der Microsoft Knowledge Base:
327696 MS02-062: Kumulatives Update für Internet-Informationsdienste vom Oktober 2002
321599 MS02-028: Überlauf des Heaps bei Chunked Encoding in HTR kann Webserver gefährden
319733 MS02-018: Kumulativer Patch für Internet Information Services vom April 2002
Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.
   Datum        Uhrzeit   Version       Größe    Dateiname     Plattform
   --------------------------------------------------------------------
   21-Mar-2003  22:14  5.1.2600.1181    340,992  Asp51.dll     i386
   08-Aug-2002  12:31                     2,411  Default.asp   i386
   21-Mar-2003  22:14  5.1.2600.1173    117,248  Ftpsv251.dll  i386
   21-Mar-2003  22:14  6.0.2600.1189    240,640  Httpext.dll   i386
   21-Mar-2003  22:14  5.1.2600.1172     55,296  Httpod51.dll  i386
   21-Mar-2003  22:14  5.1.2600.1152    129,536  Iische51.dll  i386
   21-Mar-2003  22:14  6.0.2600.1167    242,176  Infocomm.dll  i386
   21-Mar-2003  22:14  6.0.2600.1182     65,024  Isatq.dll     i386
   21-Mar-2003  22:14  6.0.2600.1167     10,752  Lonsint.dll   i386
   08-Aug-2002  12:31                    19,224  Query.asp     i386
   08-Aug-2002  12:31                     6,527  Search.asp    i386
   17-Dec-2002  23:03  5.1.2600.1152     11,264  Spiisupd.exe  i386
   21-Mar-2003  22:14  5.1.2600.1152     40,448  Ssinc51.dll   i386
   21-Mar-2003  22:14  5.1.2600.1166    340,992  W3svc.dll     i386

   21-Mar-2003  22:14  5.1.2600.1181  1,057,792  Asp51.dll     IA64
   08-Aug-2002  12:32                     2,411  Default.asp
   21-Mar-2003  22:14  5.1.2600.1173    289,792  Ftpsv251.dll  IA64
   21-Mar-2003  22:14  6.0.2600.1189    934,400  Httpext.dll   IA64
   21-Mar-2003  22:14  5.1.2600.1172    144,384  Httpod51.dll  IA64
   21-Mar-2003  22:14  5.1.2600.1152    155,136  Iische51.dll  IA64
   21-Mar-2003  22:14  6.0.2600.1167    669,696  Infocomm.dll  IA64
   21-Mar-2003  22:14  6.0.2600.1182    186,368  Isatq.dll     IA64
   21-Mar-2003  22:14  6.0.2600.1167     29,696  Lonsint.dll   IA64
   08-Aug-2002  12:32                    19,224  Query.asp
   08-Aug-2002  12:32                     6,527  Search.asp
   18-Dec-2002  00:05  5.1.2600.1152     24,064  Spiisupd.exe  IA64
   21-Mar-2003  22:14  5.1.2600.1152     96,768  Ssinc51.dll   IA64
   21-Mar-2003  22:14  5.1.2600.1166    921,088  W3svc.dll     IA64
Die folgenden Dateien sind dem Patch beigefügt, um dessen Installation zu unterstützen:
   Datum        Uhrzeit Version  Größe    Dateiname     Plattform
   -------------------------------------------------------------
   27-Feb-2002  19:58              4,092  Eula.txt      i386
   24-Mar-2003  17:38             11,508  Q811114.cat   i386
   21-Mar-2003  19:56  5.3.16.5   18,944  Spcustom.dll  i386
   21-Mar-2003  19:54  5.3.16.5    6,656  Spmsg.dll     i386
   21-Mar-2003  19:56  5.3.16.5   89,088  Spuninst.exe  i386
   21-Mar-2003  19:54  5.3.16.5  411,136  Update.exe    i386 
   21-Mar-2003  22:14              5,219  Update.inf    i386
   21-Mar-2003  22:14                936  Update.ver    i386

   11-Sep-2002  14:04              4,092  Eula.txt      IA64
   24-Mar-2003  17:38             11,508  Q811114.cat   IA64
   21-Mar-2003  19:55  5.3.16.5   52,736  Spcustom.dll  IA64
   21-Mar-2003  19:55  5.3.16.5    6,144  Spmsg.dll     IA64
   21-Mar-2003  19:55  5.3.16.5  214,528  Spuninst.exe  IA64
   21-Mar-2003  19:55  5.3.16.5  859,648  Update.exe    IA64
   21-Mar-2003  22:14              5,255  Update.inf    IA64
   21-Mar-2003  22:14                939  Update.ver    IA64
Sie können auch mithilfe des folgenden Registrierungsschlüssels feststellen, welche Dateien durch diesen Patch installiert wurden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q811114\Filelist

Internet-Informationsdienste 5.0

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:

Alle Sprachversionen:
Bild minimierenBild vergrößern
Download
Paket 811114 jetzt downloaden.
Datum der Freigabe: 28.05.2003

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Bevor Sie diesen Patch installieren, müssen Sie den Patch "329115" installieren. Falls der Patch "329115" nicht vorhanden ist, werden clientseitige Zertifikate nicht akzeptiert. Sie können diese Funktionalität wiederherstellen, indem Sie den Patch "329115" installieren. Weitere Informationen zu dem Patch "329115" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
329115 MS02-050: Sicherheitsanfälligkeit in Zertifikatsprüfung ermöglicht vorgetäuschte Identität
Dieser Patch erfordert Windows 2000 Service Pack 2 (SP2) oder Windows 2000 Service Pack 3 (SP3). Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
260910Wie Sie das neueste Service Pack für Windows 2000 erhalten
Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:
  • /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
  • /u: Unbeaufsichtigter Modus.
  • /f: Erzwingt beim Herunterfahren des Computers das Beenden der anderen Programme.
  • /n: Keine Sicherungsdateien für eine Deinstallation erstellen.
  • /o: Überschreibt OEM-Dateien ohne Nachfrage.
  • /z: Nach vollständiger Installation erfolgt kein Neustart.
  • /q: Stiller Modus (keine Nachfrage beim Benutzer).
  • /l: Listet die installierten Hotfixes auf.
  • /x: Extrahiert die Dateien, ohne Setup auszuführen.
Wenn der folgende Registrierungsschlüssel vorhanden ist, ist der Patch auf Ihrem Computer installiert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811114
Hinweise zur Anwendung

Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind:
q811114_w2k_sp4_x86_de /u /q
Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist:
q811114_w2k_sp4_x86_de /z
Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert werden.

Weitere Informationen zur Bereitstellung dieses Patch mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Hotfix installiert haben. Das Installationsprogramm hält die Dienste an, die angehalten werden müssen, wendet den Patch an und startet danach die angehaltenen Dienste neu. Sollte das Installationsprogramm die erforderlichen Dienste jedoch aus irgendeinem Grund nicht anhalten können, müssen Sie den Computer nach der vollständigen Ausführung des Setupprogramms neu starten. In diesem Fall werden Sie durch eine entsprechende Meldung aufgefordert, den Computer neu zu starten.

Informationen zur Deinstallation

Verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung, um diesen Patch zu deinstallieren.

Systemadministratoren können den Patch mithilfe des Dienstprogramms "Spunist.exe" entfernen. Die Datei "Spuninst.exe" befindet sich im Ordner "%WINDIR%\$NTUninstallQ811114$\Spuninst". Dieses Dienstprogramm unterstützt die folgenden Befehlszeilenoptionen:
  • /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
  • /u: Unbeaufsichtigter Modus.
  • /f: Erzwingt beim Herunterfahren des Computers das Beenden der anderen Programme.
  • /z: Nach vollständiger Installation erfolgt kein Neustart.
  • /q: Stiller Modus (keine Nachfrage beim Benutzer).
Ersetzte Patches

Dieser Patch ersetzt die Patches aus den folgenden Artikeln der Microsoft Knowledge Base:
327696 MS02-062: Kumulatives Update für Internet-Informationsdienste vom Oktober 2002
321599 MS02-028: Überlauf des Heaps bei Chunked Encoding in HTR kann Webserver gefährden
319733 MS02-018: Kumulativer Patch für Internet Information Services vom April 2002
Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.
   Datum        Uhrzeit  Version      Größe    Dateiname
   --------------------------------------------------------
   26-Feb-2003  13:07  5.0.2195.6628  246,544  Adsiis.dll
   26-Feb-2003  13:07  5.0.2195.6672  337,168  Asp.dll
   22-Mar-2002  16:15                   2,413  Default.asp
   26-Feb-2003  13:07  5.0.2195.6628  118,032  Ftpsvc2.dll
   21-Mar-2003  22:16  5.0.2195.6692  246,544  Httpext.dll
   26-Feb-2003  13:07  5.0.2195.6667   57,104  Httpodbc.dll
   26-Feb-2003  13:07  5.0.2195.6664  122,128  Idq.dll
   26-Feb-2003  13:07  5.0.2195.6628  121,104  Iischema.dll
   26-Feb-2003  13:07  5.0.2195.6628   56,592  Iisext.dll
   26-Feb-2003  13:07  5.0.2195.6666   78,608  Iislog.dll
   20-Mar-2002  09:59                      30  Iisperf.txt
   26-Feb-2003  13:07  5.0.2195.6620  122,640  Iisrtl.dll
   26-Feb-2003  13:07  5.0.2195.6666  248,592  Infocomm.dll
   26-Feb-2003  13:07  5.0.2195.6666   62,736  Isatq.dll
   26-Feb-2003  13:07  5.0.2195.6620   46,352  Ism.dll
   26-Feb-2003  13:07  5.0.2195.6666   12,048  Lonsint.dll
   26-Feb-2003  13:07  5.0.2195.6620   26,896  Mdsync.dll
   24-Sep-2002  13:39  5.0.2195.6607    6,928  Perfvd.exe
   22-Mar-2002  16:15                  19,178  Query.asp
   22-Mar-2002  16:15                   5,571  Search.asp
   17-Oct-2002  17:00  5.0.2195.6611   13,072  Spiisupd.exe
   26-Feb-2003  13:07  5.0.2195.6624   41,232  Ssinc.dll
   26-Feb-2003  13:07  5.0.2195.6672  349,968  W3svc.dll
   26-Feb-2003  13:07  5.0.2195.6620   72,464  Wam.dll
Die folgenden Dateien sind dem Patch beigefügt, um dessen Installation zu unterstützen:
   Datum        Uhrzeit  Version   Größe  Dateiname
   ---------------------------------------------------
   15-Nov-2001  19:27              5,149  Empty.cat
   01-Apr-2002  21:46              4,092  Eula.txt
   21-Mar-2003  23:18             14,231  Q811114.cat
   14-Mar-2003  15:51  5.3.16.5   18,944  Spcustom.dll
   14-Mar-2003  15:48  5.3.16.5    6,656  Spmsg.dll
   14-Mar-2003  15:51  5.3.16.5   89,088  Spuninst.exe
   14-Mar-2003  15:48  5.3.16.5  411,136  Update.exe
   21-Mar-2003  20:49             37,977  Update.inf
   21-Mar-2003  23:10              1,586  Update.ver
Sie können auch mithilfe des folgenden Registrierungsschlüssels feststellen, welche Dateien durch diesen Patch installiert wurden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811114\Filelist

Internet Information Server 4.0

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:

Alle Sprachversionen:
Bild minimierenBild vergrößern
Download
Paket 811114 jetzt downloaden.
Datum der Freigabe: 28.05.2003

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Microsoft Internet Information Server (IIS) ist nicht für die Verwendung in Verbindung mit Microsoft Windows NT Server 4.0, Terminal Server Edition, gedacht. Eine derartige Verwendung wird nicht unterstützt. Microsoft empfiehlt Kunden, die IIS 4.0 in Verbindung mit Windows NT Server 4.0, Terminal Server Edition, ausführen, ihre Systeme durch das Deinstallieren von IIS 4.0 zu schützen.

Bevor Sie diesen Patch installieren, müssen Sie den Patch "329115" installieren. Falls der Patch "329115" nicht vorhanden ist, werden clientseitige Zertifikate nicht akzeptiert. Sie können diese Funktionalität wiederherstellen, indem Sie den Patch "329115" installieren. Weitere Informationen zu dem Patch "329115" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
329115 MS02-050: Sicherheitsanfälligkeit in Zertifikatsprüfung ermöglicht vorgetäuschte Identität
Dieser Patch erfordert Windows NT 4.0 Service Pack 6a (SP6a). Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
152734 Bezugsquellen für das aktuelle Windows NT 4.0 Service Pack
Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:
  • /y: Deinstallation durchführen (nur mit /m oder /q).
  • /f: Beenden von Programmen beim Herunterfahren des Computers erzwingen.
  • /n: Keinen Deinstallationsordner erstellen.
  • /z: Nach abgeschlossener Installation erfolgt kein Neustart.
  • /q: Stiller oder unbeaufsichtigter Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge von /m).
  • /m: Unbeaufsichtigter Modus ohne Benutzeroberfläche.
  • /l: Listet die installierten Hotfixes auf.
  • /x: Extrahiert die Dateien, ohne Setup auszuführen.
Wenn der folgende Registrierungsschlüssel vorhanden ist, ist der Patch auf Ihrem Computer installiert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q811114
Hinweise zur Anwendung

Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind:
q811114i.exe /q
Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist:
q811114i.exe /z
Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert werden.

Weitere Informationen zur Bereitstellung dieses Patch mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Neustart

Gehen Sie folgendermaßen vor, um diesen Patch ohne Neustart Ihres Computers zu installieren:
  1. Beenden Sie alle IIS-Dienste.
  2. Installieren Sie den Patch mit dem Hotfix unter Verwendung der Befehlszeilenoption /z.
  3. Starten Sie die IIS-Dienste neu.
Informationen zur Deinstallation

Systemadministratoren können den Patch mithilfe des Dienstprogramms "Hotfix.exe" entfernen. "Hotfix.exe" befindet sich im Ordner "%WINDIR%\$NTUninstallQ811114$" und unterstützt die folgenden Setup-Optionen:
  • /y: Deinstallation durchführen (nur mit /m oder /q).
  • /f: Beenden von Programmen beim Herunterfahren des Computers erzwingen.
  • /n: Keinen Deinstallationsordner erstellen.
  • /z: Nach abgeschlossener Installation erfolgt kein Neustart.
  • /q: Stiller oder unbeaufsichtigter Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge von /m).
  • /m: Unbeaufsichtigter Modus ohne Benutzeroberfläche.
  • /l: Listet die installierten Hotfixes auf.
  • /x: Extrahiert die Dateien, ohne Setup auszuführen.
Ersetzte Patches

Dieser Patch ersetzt die Patches aus den folgenden Artikeln der Microsoft Knowledge Base:
327696 MS02-062: Kumulatives Update für Internet-Informationsdienste vom Oktober 2002
321599 MS02-028: Überlauf des Heaps bei Chunked Encoding in HTR kann Webserver gefährden
319733 MS02-018: Kumulativer Patch für Internet Information Services vom April 2002
Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.
   Datum        Uhrzeit Version    Größe    Dateiname
   -----------------------------------------------------
   07-Mar-2003  19:58  4.2.785.1   214,544  Adsiis.dll
   07-Mar-2003  19:58  4.2.785.1   332,224  Asp.dll
   02-Apr-2001  20:55  4.0.2.4701  593,976  Fp4autl.dll
   07-Mar-2003  19:58  4.2.785.1    81,888  Ftpsvc2.dll
   07-Mar-2003  19:57  4.2.785.1    55,936  Httpodbc.dll
   13-Jul-2001  20:14  5.0.1782.4  193,296  Idq.dll
   07-Mar-2003  19:58  4.2.785.1    99,424  Iischema.dll
   07-Mar-2003  19:56  4.2.785.1    63,984  Iislog.dll
   07-Mar-2003  19:57  4.2.785.1   187,344  Infocomm.dll
   07-Mar-2003  19:56  4.2.785.1    47,936  Isatq.dll
   07-Mar-2003  19:56  4.2.785.1    29,520  Iscomlog.dll
   07-Mar-2003  20:00  4.2.785.1    54,560  Ism.dll
   07-Mar-2003  19:59  4.2.785.1    31,872  Mdsync.dll
   07-Mar-2003  20:01  4.2.785.1     9,680  Schmupd.exe
   07-Mar-2003  19:58  4.2.785.1    38,256  Ssinc.dll
   07-Mar-2003  19:58  4.2.785.1    25,360  Sspifilt.dll
   07-Mar-2003  19:57  4.2.785.1   231,616  W3svc.dll
   07-Mar-2003  19:57  4.2.785.1    88,032  Wam.dll
Die folgenden Dateien sind dem Patch beigefügt, um dessen Installation zu unterstützen:
   Datum        Uhrzeit  Version      Größe   Dateiname
   -----------------------------------------------------
   19-Sep-2002  17:29  4.0.1381.7163  95,504  Hotfix.exe
   12-May-2003  21:27                 11,327  Hotfix.inf

Status

Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit bei den Microsoft-Produkten führen kann, die zu Beginn dieses Artikels aufgeführt sind.

Weitere Informationen

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-018.htm
Benutzer von Site Server sollten beachten, dass ein zuvor dokumentiertes Problem in Bezug auf zwischenzeitliche Authentifizierungsfehler Auswirkungen auf diesen Patch und eine kleine Anzahl weiterer Patches hat. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
317815 Site Server Logon Problems Occur After You Apply Certain Windows 2000 Hotfixes
Diese Patches enthalten keine Updates für Sicherheitsanfälligkeiten in Nicht-IIS-Produkten, wie zum Beispiel Front Page-Servererweiterungen und Microsoft Index Server, obwohl diese Produkte in enger Beziehung zu IIS stehen und in der Regel auf IIS-Servern ebenfalls installiert sind. Es gibt jedoch eine Ausnahme: Das Update für die Sicherheitsanfälligkeit in Index Server ist wegen der besonders gravierenden Auswirkungen des Problems auf IIS-Server in diesem Patch enthalten. (Diese Sicherheitsanfälligkeit wird im Microsoft Security Bulletin MS01-033 erörtert.) Zum Zeitpunkt der Erstellung dieses Artikels liegen die folgenden Microsoft Security Bulletins vor, in denen die betreffenden Sicherheitsanfälligkeiten und Probleme erörtert werden:
Microsoft Security Bulletin MS02-053

Microsoft Security Bulletin MS02-050

Microsoft Security Bulletin MS01-043

Microsoft Security Bulletin MS01-025

Microsoft Security Bulletin MS00-084

Microsoft Security Bulletin MS00-018

Microsoft Security Bulletin MS00-006
Die Hotfixes für folgende IIS 4.0 betreffende Sicherheitsmängel sind nicht in diesem Patch enthalten, da zu deren Behebung keine Softwareänderungen sondern administrative Maßnahmen erforderlich sind. Administratoren müssen sicherstellen, dass nicht nur dieser Patch angewendet wird, sondern dass auch die administrativen Maßnahmen ergriffen werden, die in den folgenden Bulletins beschrieben sind:
Microsoft Security Bulletin MS00-028

Microsoft Security Bulletin MS00-025

Microsoft Security Bulletin MS99-025 dieses Bulletin beschreibt das gleiche Problem wie Microsoft Security Bulletin MS98-004)

Microsoft Security Bulletin MS99-013

Eigenschaften

Artikel-ID: 811114 - Geändert am: Samstag, 30. Dezember 2006 - Version: 5.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Keywords: 
kbqfe kbhotfixserver kbwinnt400presp7fix kbwinxppresp2fix kbwin2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbfix kbbug KB811114
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com