Omgåelse af svaghed i indekseringstjenesten, som kan tillade fjernkørsel af programkode

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 890621 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

INTRODUKTION

En svaghed i indekseringstjenesten kan tillade fjernkørsel af programkode. Denne svaghed omfatter specielt udformede forespørgsler, der er længere end 62 tegn. Sikkerhedsopdatering 871250 behandler problemet med denne svaghed. I denne artikel beskrives en teknik, der medvirker til at forhindre en hacker i at udnytte en svaghed på computere, som ikke har sikkerhedsopdatering 871250 installeret.

Yderligere Information


Operativsystemets SDK (Software Development K) indeholder eksempelkode (Query.asp), som kan bruges til at rette forespørgsel til indekseringstjenesten. Query.asp bruger Microsoft Internet Information Services (IIS) og indekseringstjenestens IXSSO-forespørgselsobjekt. Linjerne med fed skrift i følgende eksempel viser supplerende kode, som kan føjes til Query.asp for at begrænse forespørgslens længde. Den ekstra kode kan hjælpe dig med at forhindre forsøg på at udnytte denne svaghed. Du kan opdatere andre af operativsystemets SDK-eksempelforespørgselssider på samme måde.
    if right(SearchString, 1) = chr(34) then
            SrchStrLen = SrchStrLen-1
            SearchString = left(SearchString, SrchStrLen)
    end if

    SrchStrLen = len( SearchString )
    if SrchStrLen > 60 then
            SrchStrLen = 60
            SearchString = left( SearchString, 60 )
    end if

    if Advanced<> "on" then
      CompSearch = "{freetext} " &  SearchString & "{/freetext}"
    else
      CompSearch = SearchString
    end if

    set Q = Server.CreateObject("ixsso.Query")
    set Util = Server.CreateObject("ixsso.Util")

Yderligere oplysninger om sikkerhedsopdatering 871250 finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
871250 MS05-003: Svaghed i indekseringstjenesten kan tillade fjernkørsel af programkode (artiklen er evt. på engelsk)

Egenskaber

Artikel-id: 890621 - Seneste redigering: 14. januar 2005 - Redigering: 1.2
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Nøgleord: 
kbhowto kbinfo kbsecurity kbadmin kbexpertiseadvanced KB890621

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com