MS03-018: Mai 2003, Kumulativ oppdatering for Internet Information Services (IIS)

Microsoft har gitt ut en kumulativ oppdatering for Internet Information Server (IIS) 4.0, IIS 5.0 og IIS 5.1. Denne oppdateringen omfatter funksjonaliteten i alle sikkerhetsoppdateringer som er utgitt for IIS 4.0 etter Windows NT 4.0 Service Pack 6a (SP6a), alle sikkerhetsoppdateringer som er utgitt for IIS 5.0 etter Windows 2000 Service Pack 2 (SP2) og alle sikkerhetsoppdateringer som er utgitt for 5.1. I tillegg inneholder denne oppdateringen feilretteringer for følgende nylig oppdagede sikkerhetsproblemer som påvirker IIS 4.0, 5.0 og 5.1:

• Et sikkerhetsproblem for områdedekkende skripting (CSS) som påvirker IIS 4.0, 5.0 og 5.1. Dette sikkerhetsproblemet omfatter feilmeldingen som returneres for å gi beskjed om at en angitt URL-adresse er omadressert. En angriper som lokker en bruker til å klikke en kobling på angriperens webområde, kan videresende en forespørsel som inneholder et skript, til et webområde som tilhører tredjepart og som kjører IIS. En slik forespørsel kan føre til at det sendes et svar (som fremdeles inneholder skriptet), til brukeren fra tredjepartsområdet. Skriptet kan dermed kjøres ved hjelp av sikkerhetsinnstillingene for tredjepartsområdet i stedet for sikkerhetsinnstillingene for angriperens område.
• Et bufferoverløp som skyldes at forespørsler om bestemte typer websider som kalles serversideinkluderinger, ikke valideres riktig av IIS 5.0. Det forutsetter at en angriper er i stand til å laste opp en serversideinkludert side til en IIS-server som har dette sikkerhetsproblemet. Hvis angriperen deretter sender en forespørsel om denne siden, kan det oppstå et bufferoverløp. Et slikt bufferoverløp gir angriperen mulighet til å kjøre en selvvalgt kode på serveren med tillatelser på brukernivå.
• Et sikkerhetsproblem for tjenestenekt som skyldes en feil i måten IIS 4.0 og 5.0 tildeler minneforespørsler på når de danner meldingshoder som skal returneres til en webklient. Det forutsetter at en angriper er i stand til å laste opp en ASP-side til en IIS-server som har dette sikkerhetsproblemet. Når angriperen kaller denne ASP-siden, forsøker siden å returnere et veldig stort meldingshode til webklienten kallet sendes fra. Fordi IIS ikke har begrensninger på hvor mye minne som kan brukes i dette tilfellet, kan det føre til at IIS går tom for minne, og at det dermed oppstår feil.
• Et sikkerhetsproblem for tjenestenekt som skyldes en feil i måten IIS 5.0 og 5.1 håndterer en feil på når de mottar en WebDAV-forespørsel som er for lang. En angriper kan utnytte dette problemet til å forhindre IIS fra å fungere. Både IIS 5.0 og 5.1 startes imidlertid som standard på nytt med en gang en slik feil oppstår.

Begrensende faktorer for områdedekkende skripting for omadressering:

• Dette påvirker ikke IIS 6.0.
• Sikkerhetsproblemet kan bare utnyttes hvis angriperen kan lokke en annen bruker til å besøke en webside og deretter klikke en kobling på websiden, eller lokke brukeren til å åpne en HTML-e-postmelding.
• Målsiden må være en ASP-side som bruker Response.Redirect til å omadressere klienten til en ny URL-adresse som er basert på den innkommende URL-adressen for gjeldende forespørsel.

Begrensende faktorer for bufferoverløp for websider som er inkludert på serversiden:

• Dette påvirker ikke IIS 4.0, IIS 5.1 og IIS 6.0.
• Verktøyet IIS Lockdown deaktiverer som standard tilordningen av Ssinc.dll (http://www.microsoft.com/technet/security/tools/locktool.mspx
  (http://www.microsoft.com/technet/security/tools/locktool.mspx)
  ). Denne innstillingen blokkerer denne typen angrep.
• IIS 5.0 kjøres som standard under en brukerkonto og ikke under systemkontoen. Det fører til at hvis en angriper lykkes med å utnytte dette sikkerhetsproblemet, får vedkommende bare tillatelser på brukernivå i stedet for på administratornivå.
• En angriper må være i stand til å laste opp filer til IIS-serveren.

Begrensende faktorer for tjenestenekt for meldingshoder:

• Dette påvirker ikke IIS 5.1.
• En angriper må være i stand til å laste opp filer til IIS-serveren.
• IIS 5.0 startes automatisk på nytt hvis denne feilen oppstår.

Begrensende faktorer for tjenestenekt for WebDAV:

• Dette påvirker ikke IIS 6.0.
• IIS 5.0 og 5.1 startes automatisk på nytt hvis denne feilen oppstår.
• Verktøyet IIS Lockdown deaktiverer som standard WebDAV (http://www.microsoft.com/technet/security/tools/locktool.mspx
  (http://www.microsoft.com/technet/security/tools/locktool.mspx)
  ). Denne innstillingen blokkerer denne typen angrep.

ADVARSEL!  Hvis du har et program som kjører under IIS og programmet utvider metabaseskjemaet for IIS, kan det være at disse utvidelsene fjernes hvis du installerer samleoppdateringen for retting av sikkerhetsproblemer, slik at programmet ikke fungerer som det skal. Kontakt leverandøren hvis du vil ha informasjon om hvilke programmer fra tredjepart som utvider metabaseskjemaet.

Det er kjent at noen ProClarity-produkter påvirkes av denne samleoppdateringen for retting av sikkerhetsproblemer. Det gjelder blant annet følgende produkter:

• ProClarity Enterprise Server 4.0 og senere
• ProClarity Analytics Server 5.0, 5.1 og 5.2

Bruk et av følgende alternativer for å løse dette problemet FØR du installerer samleoppdateringen:

• Ta sikkerhetskopi av metabasen, installer samleoppdateringen for retting av sikkerhetsproblemer og gjenopprett deretter metabasen. (Vær oppmerksom på at Microsoft ikke anbefaler dette på grunn av mulige kompatibilitetsproblemer.)
  
  Hvis du vil ha mer informasjon om hvordan du tar sikkerhetskopi av en metadatabase, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
  302573

  (http://support.microsoft.com/kb/302573/ )

  Slik tar du sikkerhetskopi av og gjenoppretter IIS
• Installer Microsoft Windows 2000 Service Pack 4 (SP4). Windows 2000 SP4 inneholder samleoppdateringen for sikkerhet.
• Kontakt Microsofts kundestøttetjenester for å få en hurtigreparasjon som løser dette problemet.

Hvis du allerede har installert samleoppdateringen for retting av sikkerhetsproblemer, og du har problemer med et program som utvider metabaseskjemaet for IIS, må programmet utvide metabaseskjemaet på nytt. Det kan innebære at produktet må installeres på nytt.

Informasjon om sikkerhetsoppdatering

Hvis du vil ha mer informasjon om hvordan du løser dette sikkerhetsproblemet, klikk på følgende avsnittsnavn for å vise avsnittene i denne artikkelen:

• Internet Information Services 5.1
• Internet Information Services 5.0
• Internet Information Server 4.0

Internet Information Services 5.1

Nedlastingsinformasjon

Følgende filer kan lastes ned fra Microsoft Download Center:

Windows XP Professional (alle språk)Windows XP 64-bit Edition (alle språk) Utgivelsesdato: 28. mai 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Forutsetninger

Denne oppdateringen krever at du allerede har installert oppdatering 329115. Hvis oppdatering 329115 ikke er installert, avvises sertifikater på klientsiden. Du kan gjenopprette denne funksjonaliteten ved å installere oppdatering 329115. Hvis du vil ha mer informasjon om oppdatering 329115, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: (Denne artikkelen kan være på engelsk).Denne oppdateringen krever den utgitte versjonen av Windows XP eller Windows XP Service Pack 1 (SP1). Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Installasjonsinformasjon

Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u : Bruk uovervåket modus.
• /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
• /n : Ikke sikkerhetskopier filer som skal fjernes.
• /o : Skriv over OEM-filer uten å spørre.
• /z : Ikke start maskinen på nytt når installasjonen er fullført.
• /q : Bruk stille modus (ingen brukermedvirkning).
• /l : Vis installerte hurtigreparasjoner.
• /x : Pakk ut filene uten å kjøre installasjonsprogrammet.

Kontroller at følgende registernøkkel finnes på datamaskinen for å forsikre deg om at oppdateringen er installert: Distribusjonsinformasjon

Hvis du vil installere oppdateringen uten brukermedvirkning, bruker du følgende kommandolinje: Hvis du vil installere oppdateringen uten å tvinge datamaskinen til å starte på nytt, bruker du følgende kommandolinje: Obs!  Du kan kombinere disse bryterne i én kommandolinje.

Hvis du vil ha informasjon om hvordan du distribuerer denne oppdateringen ved hjelp av Software Update Services, går du til følgende Microsoft-webområde:Omstartskrav

Du trenger ikke starte datamaskinen på nytt når du har brukt denne oppdateringen. Hvis det vises en dialogboks som sier at du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen, kan du trygt se bort fra den.

Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til / fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke verktøyet Spuninst.exe til å fjerne denne oppdateringen. Spuninst.exe ligger i mappen %Windir%\$NTUninstallQ811114$\Spuninst, og støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u : Bruk uovervåket modus.
• /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
• /z : Ikke start maskinen på nytt når installasjonen er fullført.
• /q : Bruk stille modus (ingen brukermedvirkning).

Informasjon om erstatning av oppdatering

Denne oppdateringen erstatter oppdateringene som er omtalt i følgende artikler i Microsoft Knowledge Base: Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel. Følgende filer er inkludert for å støtte installasjonen av oppdateringen:Du kan også kontrollere filene som installeres med denne oppdateringen, ved å kontrollere følgende registernøkkel:

Internet Information Services 5.0

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center:

Alle språk Utgivelsesdato: 28. mai 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Forutsetninger

Denne oppdateringen krever at du allerede har installert oppdatering 329115. Hvis oppdatering 329115 ikke er installert, avvises sertifikater på klientsiden. Du kan gjenopprette denne funksjonaliteten ved å installere oppdatering 329115. Hvis du vil ha mer informasjon om oppdatering 329115, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: (Denne artikkelen kan være på engelsk).Denne oppdateringen krever Windows 2000 Service Pack 2 (SP2) eller Windows 2000 Service Pack 3 (SP3). Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Installasjonsinformasjon

Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u : Bruk uovervåket modus.
• /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
• /n : Ikke sikkerhetskopier filer som skal fjernes.
• /o : Skriv over OEM-filer uten å spørre.
• /z : Ikke start maskinen på nytt når installasjonen er fullført.
• /q : Bruk stille modus (ingen brukermedvirkning).
• /l : Vis installerte hurtigreparasjoner.
• /x : Pakk ut filene uten å kjøre installasjonsprogrammet.

Kontroller at følgende registernøkkel finnes på datamaskinen for å forsikre deg om at oppdateringen er installert: Distribusjonsinformasjon

Hvis du vil installere oppdateringen uten brukermedvirkning, bruker du følgende kommandolinje: Hvis du vil installere oppdateringen uten å tvinge datamaskinen til å starte på nytt, bruker du følgende kommandolinje: Obs!  Du kan kombinere disse bryterne i én kommandolinje.

Hvis du vil ha informasjon om hvordan du distribuerer denne oppdateringen med Software Update Services, går du til følgende Microsoft-webområde: Omstartskrav

Du trenger ikke starte datamaskinen på nytt når du har brukt denne hurtigreparasjonen. Installasjonsprogrammet stanser automatisk de nødvendige tjenestene, utfører oppdateringen og starter deretter tjenestene på nytt. Hvis installasjonsprogrammet av en eller annen grunn ikke kan stanse tjenestene, må du imidlertid starte datamaskinen på nytt når installasjonen er fullført. Når dette forekommer, vises det en melding som spør om du vil starte datamaskinen på nytt.

Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til / fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke verktøyet Spuninst.exe til å fjerne denne oppdateringen. Spuninst.exe ligger i mappen %Windir%\$NTUninstallQ811114$\Spuninst. Dette verktøyet støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u : Bruk uovervåket modus.
• /f : Tving andre programmer til å avslutte når datamaskinen avsluttes.
• /z : Ikke start maskinen på nytt når installasjonen er fullført.
• /q : Bruk stille modus (ingen brukermedvirkning).

Informasjon om erstatning av oppdatering

Denne oppdateringen erstatter oppdateringene som er omtalt i følgende artikler i Microsoft Knowledge Base: Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel. Følgende filer er inkludert for å støtte installasjonen av oppdateringen: Du kan også kontrollere hvilke filer som ble installert med denne oppdateringen, ved å se gjennom følgende registernøkkel:

Internet Information Server 4.0

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center:

Alle språk Utgivelsesdato: 28. mai 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Forutsetninger

Microsoft Internet Information Server (IIS) er ikke ment å brukes sammen med Windows NT Server 4.0, Terminal Server Edition, og dette støttes ikke. Microsoft anbefaler at kunder som kjører IIS 4.0 på Windows NT Server 4.0, Terminal Server Edition, beskytter systemene ved å fjerne IIS 4.0.

Denne oppdateringen krever at du allerede har installert oppdatering 329115. Hvis oppdatering 329115 ikke er installert, avvises sertifikater på klientsiden. Du kan gjenopprette denne funksjonaliteten ved å installere oppdatering 329115. Hvis du vil ha mer informasjon om oppdatering 329115, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: (Denne artikkelen kan være på engelsk).Denne oppdateringen krever Windows NT 4.0 Service Pack 6a (SP6a). Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: (Denne artikkelen kan være på engelsk)Installasjonsinformasjon

Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /y : Utfør fjerning (bare med /m eller /q ).
• /f : Tving programmer til å lukkes når maskinen slås av.
• /n : Ikke opprett en avinstallasjonsmappe.
• /z : Ikke start på nytt når oppdateringen er fullført.
• /q : Bruk stille eller uovervåket modus uten noe brukergrensesnitt (denne bryteren er et overordnet sett for /m ).
• /m : Bruk uovervåket modus med brukergrensesnitt.
• /l : Vis installerte hurtigreparasjoner.
• /x : Pakk ut filene uten å kjøre installasjonsprogrammet.

Kontroller at følgende registernøkkel finnes på datamaskinen for å forsikre deg om at oppdateringen er installert: Distribusjonsinformasjon

Hvis du vil installere oppdateringen uten brukermedvirkning, bruker du følgende kommandolinje: Hvis du vil installere oppdateringen uten å tvinge datamaskinen til å starte på nytt, bruker du følgende kommandolinje: Obs!  Du kan kombinere disse bryterne i én kommandolinje.

Hvis du vil ha informasjon om hvordan du distribuerer denne oppdateringen med Software Update Services, går du til følgende Microsoft-webområde: Omstartskrav

Hvis du vil installere denne oppdateringen uten å starte datamaskinen på nytt, følger du disse trinnene:

1. Stans alle IIS-tjenester.
2. Installer oppdateringen som inneholder hurtigreparasjonen, ved hjelp av bryteren /z.
3. Start IIS-tjenestene på nytt.

Informasjon om fjerning

Systemansvarlige kan bruke verktøyet Hotfix.exe til å fjerne denne oppdateringen. Hotfix.exe ligger i mappen %Windir%\$NTUninstallQ811114$, og støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /y : Utfør fjerning (bare med /m eller /q ).
• /f : Tving programmer til å lukkes når maskinen slås av.
• /n : Ikke opprett en avinstallasjonsmappe.
• /z : Ikke start på nytt når oppdateringen er fullført.
• /q : Bruk stille eller uovervåket modus uten noe brukergrensesnitt (denne bryteren er et overordnet sett for /m ).
• /m : Bruk uovervåket modus med brukergrensesnitt.
• /l : Vis installerte hurtigreparasjoner.
• /x : Pakk ut filene uten å kjøre installasjonsprogrammet.

Informasjon om erstatning av oppdatering

Denne oppdateringen erstatter oppdateringene som er omtalt i følgende artikler i Microsoft Knowledge Base: Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel. Følgende filer er inkludert for å støtte installasjonen av oppdateringen:

Microsoft har bekreftet at dette problemet kan forårsake et visst sikkerhetsproblem i Microsoft-produktene som er oppført i begynnelsen av denne artikkelen.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, går du til følgende Microsoft-webområde: Kunder som bruker områdeserver, må være oppmerksomme på at et tidligere dokumentert problem som involverer uregelmessige godkjenningsfeil, påvirker denne oppdateringen og noen få andre oppdateringer. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Disse oppdateringene inneholder ikke feilretting for sikkerhetsproblemer som ikke gjelder IIS-produkter, for eksempel Microsoft FrontPage Server Extensions og Microsoft Index Server, selv om disse produktene er nært knyttet til IIS og vanligvis installeres på IIS-servere. Det finnes imidlertid ett unntak. Oppdateringen inneholder feilretting for sikkerhetsproblemet som påvirker Index Server fordi dette har alvorlige konsekvenser for IIS-servere. (Dette sikkerhetsproblemet omtales i Microsofts sikkerhetsbulletin MS01-033.) Da denne artikkelen ble skrevet, fantes følgende sikkerhetsbulletiner fra Microsoft som omtaler dette sikkerhetsproblemet: Oppdateringen inneholder ikke feilretting for følgende sikkerhetsproblemer som påvirker IIS 4.0, fordi de krever administrative tiltak i stedet for programvareendringer. Systemansvarlige må forsikre seg om at de ikke bare installerer denne oppdateringen, men også i verksetter de administrative tiltak som er beskrevet i følgende bulletiner: