MS03-018: Patch cumulativa per Internet Information Services (IIS), maggio 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 811114 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Microsoft ha rilasciato una patch cumulativa per Internet Information Server (IIS) 4.0, Internet Information Services (IIS) 5.0 e IIS 5.1 in cui sono contenute tutte le funzionalitÓ delle patch di protezione rilasciate per IIS 4.0 da Windows NT 4.0 Service Pack 6a (SP6a), tutte le patch di protezione rilasciate per IIS 5.0 da Windows 2000 Service Pack 2 (SP2), oltre a tutte quelle che sono state rilasciate per IIS 5.1. Questa patch contiene inoltre le correzioni per le seguenti vulnerabilitÓ identificate di recente che interessano IIS 4.0, 5.0 e 5.1:
  • Un problema di protezione relativo agli script tra siti (CSS) a cui sono soggetti IIS 4.0, 5.0 e 5.1. Questa vulnerabilitÓ riguarda i messaggi di errore restituiti per informare l'utente che un URL richiesto Ŕ stato reindirizzato. Un operatore malintenzionato che induce un utente a fare clic su un collegamento sul sito Web dell'operatore stesso pu˛ inoltrare una richiesta contenente uno script a un sito Web di terze parti che esegue IIS. Tale richiesta pu˛ fare in modo che la risposta del sito di terze parti, contenente lo script, venga inviata all'utente. Lo script potrÓ quindi essere eseguito utilizzando le impostazioni di protezione del sito di terze parti anzichÚ quelle del sito dell'operatore malintenzionato.
  • Un overrun del buffer causato dal fatto che in IIS 5.0 le richieste non vengono convalidate correttamente per tipi particolari di pagine Web definite inclusioni sul lato server. L'operatore malintenzionato dovrebbe essere in grado di caricare una pagina di inclusione sul lato server su un server IIS soggetto al problema di protezione. Se in seguito quell'operatore dovesse richiedere la pagina, potrebbe verificarsi un overrun del buffer che consentirebbe all'operatore di eseguire qualsiasi tipo di codice sul server utilizzando le autorizzazioni a livello di utente.
  • Un problema di protezione DoS (Denial of Service) derivante da un modo non corretto di allocare le richieste di memoria in IIS 4.0 e 5.0 al momento di creare intestazioni da restituire al client Web. L'operatore malintenzionato dovrebbe essere in grado di caricare una pagina ASP su un server IIS soggetto al problema di protezione. Quando l'operatore invia chiamate a questa pagina ASP, questa tenta di restituire un'intestazione molto estesa al client Web chiamante. PoichÚ IIS non limita la memoria utilizzabile in questo caso, potrebbe verificarsi un esaurimento della memoria e il blocco di IIS.
  • Un problema di protezione DoS (Denial of Service) derivante dal fatto che in IIS 5.0 e 5.1 non viene gestita correttamente una condizione di errore quando viene passata ad essi una richiesta WebDAV troppo lunga. Questo problema di protezione potrebbe essere utilizzato dall'operatore malintenzionato per causare il blocco di IIS. Sia IIS 5.0 che 5.1 vengono tuttavia riavviati immediatamente dopo questo errore per impostazione predefinita.
Fattori attenuanti per il reindirizzamento degli script tra siti:
  • IIS 6.0 non Ŕ coinvolto.
  • Il problema di protezione pu˛ essere sfruttato solo se l'operatore malintenzionato riesce a indurre un altro utente a visitare una pagina Web e quindi a fare clic su un collegamento a una pagina Web oppure a indurre l'utente ad aprire un messaggio di posta HTML.
  • La pagina di destinazione deve essere una pagina ASP in cui viene utilizzato Response.Redirect per il reindirizzamento del client a un nuovo URL basato sull'URL in ingresso della richiesta corrente.
Fattori attenuanti per l'overrun del buffer delle pagine Web di inclusione sul lato server:
  • IIS 4.0, IIS 5.1 e IIS 6.0 non sono coinvolti.
  • Per impostazione predefinita, lo strumento Lockdown di IIS disabilita il mapping di Ssinc.dll http://www.microsoft.com/technet/security/tools/locktool.mspx (informazioni in lingua inglese). Questa impostazione Ŕ in grado di bloccare questo tipo di attacco.
  • Per impostazione predefinita, IIS 5.0 viene eseguito con un account utente e non con un account di sistema. Un operatore malintenzionato che riuscisse a sfruttare questo problema di vulnerabilitÓ potrebbe pertanto ottenere solo autorizzazioni a livello utente e non a livello amministrativo.
  • L'operatore dovrÓ inoltre essere in grado di caricare file sul server IIS.
Fattori attenuanti per il DoS relativo alle intestazioni:
  • IIS 5.1 non Ŕ coinvolto.
  • L'operatore dovrÓ inoltre essere in grado di caricare file sul server IIS.
  • IIS 5.0 viene riavviato automaticamente dopo questo errore.
Fattori attenuanti per il DoS relativo a WebDAV:
  • IIS 6.0 non Ŕ coinvolto.
  • IIS 5.0 e 5.1 vengono riavviati automaticamente dopo questo errore.
  • Per impostazione predefinita, lo strumento Lockdown di IIS disabilita WebDAV http://www.microsoft.com/technet/security/tools/locktool.mspx (informazioni in lingua inglese). Questa impostazione Ŕ in grado di bloccare questo tipo di attacco.

Risoluzione

ATTENZIONE Se si utilizza un'applicazione che viene eseguita in IIS e ne estende lo schema della metabase, l'installazione di questa patch di protezione cumulativa potrebbe causare la rimozione di tali estensioni impedendo il corretto funzionamento dell'applicazione. Per determinare se lo schema della metabase Ŕ esteso da un'applicazione di terze parti, contattare il fornitore dell'applicazione.

Alcuni prodotti di ProClarity sono soggetti al problema causato da questa patch di protezione cumulativa, quali i seguenti:
  • ProClarity Enterprise Server 4.0 e versioni successive
  • ProClarity Analytics Server 5.0, 5.1 e 5.2
Per risolvere il problema PRIMA di installare la patch di protezione cumulativa, utilizzare uno dei metodi seguenti:
  • Creare una copia di backup della metabase, installare la patch di protezione cumulativa e quindi ripristinare la metabase. Microsoft sconsiglia di applicare questo metodo a causa dei possibili problemi di compatibilitÓ.

    Per ulteriori informazioni sulla creazione di una copia di backup della metabase, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    302573 HOW TO: Back Up and Restore IIS
  • Installare Microsoft Windows 2000 Service Pack 4 (SP4). Nel Service Pack 4 per Windows 2000 Ŕ inclusa questa patch di protezione cumulativa.
  • Contattare il Servizio Supporto Tecnico Clienti Microsoft per ottenere una correzione rapida che consenta di correggere questo problema.
Se la patch di protezione cumulativa Ŕ giÓ stata installata e si verifica un problema con l'applicazione che estende lo schema della metabase di IIS, Ŕ necessario che l'estensione dello schema venga ripetuta dall'applicazione. Potrebbe essere necessario reinstallare il prodotto.

Informazioni sulla patch di protezione

Per ulteriori informazioni sulla risoluzione di questo problema di protezione, fare clic sui seguenti titoli di sezione di questo articolo:

Internet Information Services 5.1

Informazioni sul download

I seguenti file sono disponibili per il download dall'Area download Microsoft:

Windows XP Professional (tutte le lingue)
Download del pacchetto 811114
Windows XP 64-bit Edition (tutte le lingue, informazioni in lingua inglese)
Download del pacchetto 811114
Data di rilascio: 28 maggio 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 How to Obtain Microsoft Support Files from Online Services
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile alla data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Questa patch richiede che sia stata installata la patch 329115. Se la patch 329115 non Ŕ presente, i certificati sul lato client verranno rifiutati. ╚ possibile ripristinare questa funzionalitÓ installando la patch 329115. Per ulteriori informazioni sulla patch 329115, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329115 MS02-050: Certificate Validation Flaw Might Permit Identity Spoofing
Questa patch richiede la versione finale di Windows XP o Windows XP Service Pack 1 (SP1). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322389 How to Obtain the Latest Windows XP Service Pack
Informazioni sull'installazione

Questa patch supporta i seguenti parametri di installazione:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalitÓ automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /n: consente di non eseguire il backup dei file per la disinstallazione.
  • /o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalitÓ non interattiva (senza intervento dell'utente).
  • /l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • /x: consente di estrarre i file senza eseguire il programma di installazione.
Per controllare che la patch sia installata nel computer, verificare l'esistenza della seguente chiave nel Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q811114
Informazioni sulla distribuzione

Per installare la patch senza intervento dell'utente, utilizzare la seguente riga di comando:
q811114_wxp_sp2_x86_enu /u /q
Per installare la patch senza imporre il riavvio del computer, utilizzare la seguente riga di comando:
q811114_wxp_sp2_x86_enu /z
Nota Questi parametri possono essere inclusi in una stessa riga di comando.

Per informazioni sulla distribuzione di questa patch mediante Software Update Services, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/technet/solutions/security/sus.asp
Richiesta di riavvio

Dopo l'applicazione della patch non Ŕ necessario riavviare il computer. Se viene visualizzata una finestra di dialogo nella quale Ŕ indicato che Ŕ necessario riavviare il computer dopo l'applicazione della patch, Ŕ possibile ignorarla.

Informazioni sulla rimozione

Per disinstallare questo aggiornamento, utilizzare lo strumento Installazione applicazioni nel Pannello di controllo.

Gli amministratori di sistema possono utilizzare l'utilitÓ Spunist.exe per rimuovere la patch. Spuninst.exe si trova nella cartella %Windir%\$NTUninstallQ811114$\Spuninst e supporta i seguenti parametri per il comando Setup:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalitÓ automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalitÓ non interattiva (senza intervento dell'utente).
Informazioni sulla sostituzione della patch

Questa patch sostituisce le patch descritte nei seguenti articoli della Microsoft Knowledge Base:
327696 MS02-062: October 2002 Cumulative Patch for Internet Information Services
321599 MS02-028: Heap Overrun in HTR Chunked Encoding Might Enable Web Server Compromise
319733 MS02-018: April 2002 Cumulative Patch for Internet Information Services
Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
  
   Data        Ora    Versione       Dimensione Nome file     Piattaforma
   ----------------------------------------------------------------------
   21/03/2003  22.14  5.1.2600.1181    340.992  Asp51.dll     i386
   08/08/2002  12.31                     2.411  Default.asp   i386
   21/03/2003  22.14  5.1.2600.1173    117.248  Ftpsv251.dll  i386
   21/03/2003  22.14  6.0.2600.1189    240.640  Httpext.dll   i386
   21/03/2003  22.14  5.1.2600.1172     55.296  Httpod51.dll  i386
   21/03/2003  22.14  5.1.2600.1152    129.536  Iische51.dll  i386
   21/03/2003  22.14  6.0.2600.1167    242.176  Infocomm.dll  i386
   21/03/2003  22.14  6.0.2600.1182     65.024  Isatq.dll     i386
   21/03/2003  22.14  6.0.2600.1167     10.752  Lonsint.dll   i386
   08/08/2002  12.31                    19.224  Query.asp     i386
   08/08/2002  12.31                     6.527  Search.asp    i386
   17/12/2002  23.03  5.1.2600.1152     11.264  Spiisupd.exe  i386
   21/032003   22.14  5.1.2600.1152     40.448  Ssinc51.dll   i386
   21/03/2003  22.14  5.1.2600.1166    340.992  W3svc.dll     i386

   21/03/2003  22.14  5.1.2600.1181  1.057.792  Asp51.dll     IA64
   08/08/2002  12.32                     2.411  Default.asp
   21/03/2003  22.14  5.1.2600.1173    289.792  Ftpsv251.dll  IA64
   21/03/2003  22.14  6.0.2600.1189    934.400  Httpext.dll   IA64
   21/03/2003  22.14  5.1.2600.1172    144.384  Httpod51.dll  IA64
   21/03/2003  22.14  5.1.2600.1152    155.136  Iische51.dll  IA64
   21/03/2003  22.14  6.0.2600.1167    669.696  Infocomm.dll  IA64
   21/03/2003  22.14  6.0.2600.1182    186.368  Isatq.dll     IA64
   21/03/2003  22.14  6.0.2600.1167     29.696  Lonsint.dll   IA64
   08/08/2002  12.32                    19.224  Query.asp
   08/08/2002  12.32                     6.527  Search.asp
   18/12/2002  00.05  5.1.2600.1152     24.064  Spiisupd.exe  IA64
   21/03/2003  22.14  5.1.2600.1152     96.768  Ssinc51.dll   IA64
   21/03/2003  22.14  5.1.2600.1166    921.088  W3svc.dll     IA64
I file elencati di seguito vengono forniti per supportare l'installazione della patch:
   
   Data        Ora    Versione  Dimensione Nome file     Piattaforma
   -----------------------------------------------------------------
   27/02/2002  19.58              4.092    Eula.txt      i386
   24/03/2003  17.38             11.508    Q811114.cat   i386
   21/03/2003  19.56  5.3.16.5   18.944    Spcustom.dll  i386
   21/03/2003  19.54  5.3.16.5    6.656    Spmsg.dll     i386
   21/03/2003  19.56  5.3.16.5   89.088    Spuninst.exe  i386
   21/03/2003  19.54  5.3.16.5  411.136    Update.exe    i386 
   21/03/2003  22.14              5.219    Update.inf    i386
   21/03/2003  22.14                936    Update.ver    i386

   11/09/2002  14.04              4.092    Eula.txt      IA64
   24/03/2003  17.38             11.508    Q811114.cat   IA64
   21/03/2003  19.55  5.3.16.5   52.736    Spcustom.dll  IA64
   21/03/2003  19.55  5.3.16.5    6.144    Spmsg.dll     IA64
   21/03/2003  19.55  5.3.16.5  214.528    Spuninst.exe  IA64
   21/03/2003  19.55  5.3.16.5  859.648    Update.exe    IA64
   21/03/2003  22.14              5.255    Update.inf    IA64
   21/03/2003  22.14                939    Update.ver    IA64
╚ inoltre possibile verificare i file installati da questa patch controllando la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q811114\Filelist

Internet Information Services 5.0

Informazioni sul download

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:

Tutte le lingue
Download del pacchetto 811114
Data di rilascio: 28 maggio 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 How to Obtain Microsoft Support Files from Online Services
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile alla data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Questa patch richiede che sia stata installata la patch 329115. Se la patch 329115 non Ŕ presente, i certificati sul lato client verranno rifiutati. ╚ possibile ripristinare questa funzionalitÓ installando la patch 329115. Per ulteriori informazioni sulla patch 329115, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329115 MS02-050: Certificate Validation Flaw Might Permit Identity Spoofing
Per applicare questa patch Ŕ necessario disporre di Microsoft Windows 2000 Service Pack 2 (SP2) o Windows 2000 Service Pack 3 (SP3). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260910 How to Obtain the Latest Windows 2000 Service Pack
Informazioni sull'installazione

Questa patch supporta i seguenti parametri di installazione:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalitÓ automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /n: consente di non eseguire il backup dei file per la disinstallazione.
  • /o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalitÓ non interattiva (senza intervento dell'utente).
  • /l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • /x: consente di estrarre i file senza eseguire il programma di installazione.
Per controllare che la patch sia installata nel computer, verificare l'esistenza della seguente chiave nel Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811114
Informazioni sulla distribuzione

Per installare la patch senza intervento dell'utente, utilizzare la seguente riga di comando:
q811114_w2k_sp4_x86_en /u /q
Per installare la patch senza imporre il riavvio del computer, utilizzare la seguente riga di comando:
q811114_w2k_sp4_x86_en /z
Nota Questi parametri possono essere inclusi in una stessa riga di comando.

Per informazioni sulla distribuzione di questa patch mediante Software Update Services, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/technet/solutions/security/sus.asp
Richiesta di riavvio

Dopo l'applicazione di questa correzione rapida non Ŕ necessario riavviare il computer. Tramite il programma di installazione vengono arrestati i servizi corretti, viene applicata la patch e quindi vengono riavviati i servizi. Se tuttavia i servizi non possono essere arrestati dal programma di installazione per qualsiasi motivo, sarÓ necessario riavviare il computer al termine dell'installazione. In questo caso, verrÓ visualizzato un messaggio con la richiesta di riavviare il computer.

Informazioni sulla rimozione

Per disinstallare questo aggiornamento, utilizzare lo strumento Installazione applicazioni nel Pannello di controllo.

Gli amministratori di sistema possono utilizzare l'utilitÓ Spunist.exe per rimuovere la patch. Spuninst.exe si trova nella cartella %Windir%\$NTUninstallQ811114$\Spuninst. Questa utilitÓ supporta i seguenti parametri di installazione:
  • /?: consente di visualizzare l'elenco dei parametri di installazione.
  • /u: consente di utilizzare la modalitÓ automatica.
  • /f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • /z: consente di non riavviare il computer al termine dell'installazione.
  • /q: consente di utilizzare la modalitÓ non interattiva (senza intervento dell'utente).
Informazioni sulla sostituzione della patch

Questa patch sostituisce le patch descritte nei seguenti articoli della Microsoft Knowledge Base:
327696 MS02-062: October 2002 Cumulative Patch for Internet Information Services
321599 MS02-028: Heap Overrun in HTR Chunked Encoding Might Enable Web Server Compromise
319733 MS02-018: April 2002 Cumulative Patch for Internet Information Services
Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   
   Data        Ora    Versione       Dimensione  Nome file
   ----------------------------------------------------------
   26/02/2003  13.07  5.0.2195.6628  246.544     Adsiis.dll
   26/02/2003  13.07  5.0.2195.6672  337.168     Asp.dll
   22/03/2002  16.15                   2.413     Default.asp
   26/02/2003  13.07  5.0.2195.6628  118.032     Ftpsvc2.dll
   21/03/2003  22.16  5.0.2195.6692  246.544     Httpext.dll
   26/02/2003  13.07  5.0.2195.6667   57.104     Httpodbc.dll
   26/02/2003  13.07  5.0.2195.6664  122.128     Idq.dll
   26/02/2003  13.07  5.0.2195.6628  121.104     Iischema.dll
   26/022003   13.07  5.0.2195.6628   56.592     Iisext.dll
   26/02/2003  13.07  5.0.2195.6666   78.608     Iislog.dll
   20/03/2002  09.59                      30     Iisperf.txt
   26/02/2003  13.07  5.0.2195.6620  122.640     Iisrtl.dll
   26/02/2003  13.07  5.0.2195.6666  248.592     Infocomm.dll
   26/02/2003  13.07  5.0.2195.6666   62.736     Isatq.dll
   26/02/2003  13.07  5.0.2195.6620   46.352     Ism.dll
   26/02/2003  13.07  5.0.2195.6666   12.048     Lonsint.dll
   26/02/2003  13.07  5.0.2195.6620   26.896     Mdsync.dll
   24/09/2002  13.39  5.0.2195.6607    6.928     Perfvd.exe
   22/03/2002  16.15                  19.178     Query.asp
   22/03/2002  16.15                   5.571     Search.asp
   17/10/2002  17.00  5.0.2195.6611   13.072     Spiisupd.exe
   26/02/2003  13.07  5.0.2195.6624   41.232     Ssinc.dll
   26/02/2003  13.07  5.0.2195.6672  349.968     W3svc.dll
   26/02/2003  13.07  5.0.2195.6620   72.464     Wam.dll
I file elencati di seguito vengono forniti per supportare l'installazione della patch.:
   
   Data        Ora    Versione  Dimensione  Nome file
   -----------------------------------------------------
   15/11/2001  19.27              5.149     Empty.cat
   01/04/2002  21.46              4.092     Eula.txt
   21/03/2003  23.18             14.231     Q811114.cat
   14/03/2003  15.51  5.3.16.5   18.944     Spcustom.dll
   14/03/2003  15.48  5.3.16.5    6.656     Spmsg.dll
   14/03/2003  15.51  5.3.16.5   89.088     Spuninst.exe
   14/03/2003  15.48  5.3.16.5  411.136     Update.exe
   21/03/2003  20.49             37.977     Update.inf
   21/03/2003  23.10              1.586     Update.ver
╚ inoltre possibile verificare i file installati da questa patch controllando la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811114\Filelist

Internet Information Services 4.0

Informazioni sul download

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:

Tutte le lingue (informazioni in lingua inglese)
Download del pacchetto 811114
Data di rilascio: 28 maggio 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 How to Obtain Microsoft Support Files from Online Services
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile alla data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Non Ŕ prevista l'esecuzione di Microsoft Internet Information Server (IIS) in Windows NT Server 4.0, Terminal Server Edition, pertanto non Ŕ disponibile il relativo supporto. Microsoft consiglia ai clienti che eseguono IIS 4.0 in Windows NT Server 4.0, Terminal Server Edition di proteggere i computer utilizzati disinstallando IIS 4.0.

Questa patch richiede che sia stata installata la patch 329115. Se la patch 329115 non Ŕ presente, i certificati sul lato client verranno rifiutati. ╚ possibile ripristinare questa funzionalitÓ installando la patch 329115. Per ulteriori informazioni sulla patch 329115, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329115 MS02-050: Certificate Validation Flaw Might Permit Identity Spoofing
Questa patch richiede Windows NT 4.0 Service Pack 6a (SP6a). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
152734 How to Obtain the Latest Windows NT 4.0 Service Pack
Informazioni sull'installazione

Questa patch supporta i seguenti parametri di installazione:
  • /y: consente di effettuare un'operazione di rimozione (solo con /m o /q).
  • /f: consente di chiudere gli altri programmi all'arresto del computer.
  • /n: consente di non creare una cartella di disinstallazione.
  • /z: consente di non riavviare il computer al termine dell'aggiornamento.
  • /q: consente di utilizzare la modalitÓ non interattiva o la modalitÓ automatica senza interfaccia utente (il parametro Ŕ un superinsieme di /m).
  • /m: consente di utilizzare la modalitÓ non interattiva con interfaccia utente.
  • /l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • /x: consente di estrarre i file senza eseguire il programma di installazione.
Per controllare che la patch sia installata nel computer, verificare l'esistenza della seguente chiave nel Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q811114
Informazioni sulla distribuzione

Per installare la patch senza intervento dell'utente, utilizzare la seguente riga di comando:
q811114i.exe /q
Per installare la patch senza imporre il riavvio del computer, utilizzare la seguente riga di comando:
q811114i.exe /z
Nota Questi parametri possono essere inclusi in una stessa riga di comando.

Per informazioni sulla distribuzione di questa patch mediante Software Update Services, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/technet/solutions/security/sus.asp
Richiesta di riavvio

Per installare questa patch senza riavviare il computer, attenersi alla seguente procedura:
  1. Arrestare tutti i servizi di IIS.
  2. Installare la patch con la correzione utilizzando il parametro /z.
  3. Riavviare tutti i servizi di IIS.
Informazioni sulla rimozione

Gli amministratori di sistema possono utilizzare l'utilitÓ Hotfix.exe per rimuovere la patch. Hotfix.exe si trova nella cartella %Windir%\$NTUninstallQ811114$ e supporta i seguenti parametri per il comando Setup:
  • /y: consente di eseguire un'operazione di rimozione (solo con /m o /q).
  • /f: consente di chiudere gli altri programmi all'arresto del computer.
  • /n: consente di non creare una cartella di disinstallazione.
  • /z: consente di non riavviare il computer al termine dell'aggiornamento.
  • /q: consente di utilizzare la modalitÓ non interattiva o la modalitÓ automatica senza interfaccia utente (il parametro Ŕ un superinsieme di /m).
  • /m: consente di utilizzare la modalitÓ non interattiva con interfaccia utente.
  • /l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • /x: consente di estrarre i file senza eseguire il programma di installazione.
Informazioni sulla sostituzione della patch

Questa patch sostituisce le patch descritte nei seguenti articoli della Microsoft Knowledge Base:
327696 MS02-062: October 2002 Cumulative Patch for Internet Information Services
321599 MS02-028: Heap Overrun in HTR Chunked Encoding Might Enable Web Server Compromise
319733 MS02-018: April 2002 Cumulative Patch for Internet Information Services
Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   
   Data        Ora    Versione    Dimensione  Nome file
   -------------------------------------------------------
   07/03/2003  19.58  4.2.785.1   214.544     Adsiis.dll
   07/03/2003  19.58  4.2.785.1   332.224     Asp.dll
   02/04/2001  20.55  4.0.2.4701  593.976     Fp4autl.dll
   07/03/2003  19.58  4.2.785.1    81.888     Ftpsvc2.dll
   07/03/2003  19.57  4.2.785.1    55.936     Httpodbc.dll
   13/07/2001  20.14  5.0.1782.4  193.296     Idq.dll
   07/03/2003  19.58  4.2.785.1    99.424     Iischema.dll
   07/03/2003  19.56  4.2.785.1    63.984     Iislog.dll
   07/03/2003  19.57  4.2.785.1   187.344     Infocomm.dll
   07/03/2003  19.56  4.2.785.1    47.936     Isatq.dll
   07/03/2003  19.56  4.2.785.1    29.520     Iscomlog.dll
   07/03/2003  20.00  4.2.785.1    54.560     Ism.dll
   07/03/2003  19.59  4.2.785.1    31.872     Mdsync.dll
   07/03/2003  20.01  4.2.785.1     9.680     Schmupd.exe
   07/03/2003  19.58  4.2.785.1    38.256     Ssinc.dll
   07/03/2003  19.58  4.2.785.1    25.360     Sspifilt.dll
   07/03/2003  19.57  4.2.785.1   231.616     W3svc.dll
   07/03/2003  19.57  4.2.785.1    88.032     Wam.dll
I file elencati di seguito vengono forniti per supportare l'installazione della patch.
   
   Data        Ora    Versione       Dimensione  Nome file
   --------------------------------------------------------
   19/09/2002  17.29  4.0.1381.7163  95.504      Hotfix.exe
   12/05/2003  21.27                 11.327      Hotfix.inf

Status

Microsoft ha confermato che questo problema pu˛ determinare una certa vulnerabilitÓ nelle funzioni di protezione dei prodotti Microsoft elencati all'inizio di questo articolo.

Informazioni

Per ulteriori informazioni su questo problema di protezione, vedere il seguente Microsoft Security Bulletin:
http://www.microsoft.com/italy/technet/solutions/security/ms03_018.asp
I clienti che utilizzano Site Server devono tenere presente che un problema documentato in precedenza relativo a errori di autenticazione intermittenti coinvolge questa e alcune altre patch. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
317815 Site Server Logon Problems Occur After You Apply Certain Windows 2000 Hotfixes
Queste patch non comprendono correzioni per le vulnerabilitÓ di prodotti diversi da IIS, come le estensioni del server di Microsoft FrontPage e Microsoft Index Server, anche se questi prodotti sono strettamente connessi a IIS e nonostante il fatto che vengano normalmente installati in server IIS. Esiste tuttavia un'eccezione. Nella patch Ŕ inclusa una correzione per il problema di vulnerabilitÓ riguardante Index Server a causa della gravitÓ del problema per i server IIS. Questo problema di protezione Ŕ descritto in Microsoft Security Bulletin MS01-033 (informazioni in lingua inglese). Al momento della stesura del presente articolo, i Microsoft Security Bulletin in cui queste vulnerabilitÓ sono descritte sono i seguenti (informazioni in lingua inglese):
Microsoft Security Bulletin MS02-053

Microsoft Security Bulletin MS02-050

Microsoft Security Bulletin MS01-043

Microsoft Security Bulletin MS01-025

Microsoft Security Bulletin MS00-084:

Microsoft Security Bulletin MS00-018

Microsoft Security Bulletin MS00-006
Le correzioni destinate alle vulnerabilitÓ di IIS 4.0 non sono contenute in questa patch perchÚ richiedono un intervento amministrativo anzichÚ una modifica a livello del software. Oltre a evitare di applicare la patch, gli amministratori devono effettuare l'operazione descritta negli articoli seguenti (informazioni in lingua inglese):
Microsoft Security Bulletin MS00-028

Microsoft Security Bulletin MS00-025

Microsoft Security Bulletin MS99-025 (in questo articolo viene descritto lo stesso problema trattato nel Microsoft Security Bulletin MS98-004)

Microsoft Security Bulletin MS99-013

ProprietÓ

Identificativo articolo: 811114 - Ultima modifica: sabato 30 dicembre 2006 - Revisione: 4.2
Le informazioni in questo articolo si applicano a
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Chiavi:á
kbqfe kbhotfixserver kbwinnt400presp7fix kbwinxppresp2fix kbwin2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbfix kbbug KB811114
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com