用于消除索引服务中可能允许远程代码执行漏洞的替代方法

文章翻译 文章翻译
文章编号: 890621 - 查看本文应用于的产品
展开全部 | 关闭全部

简介

索引服务中的漏洞可能允许远程代码执行。此漏洞与长度超过 62 个字符的特殊格式的查询有关。安全更新 871250 可以消除此漏洞。本文介绍一种方法,该方法可帮助防止攻击者试图利用尚未应用安全更新 871250 的计算机上的漏洞。

更多信息


操作系统软件开发工具包 (SDK) 包括用来查询索引服务的示例代码 (Query.asp)。Query.asp 使用 Microsoft Internet 信息服务 (IIS) 和索引服务的 IXSSO 查询对象。以下示例中以粗体显示的行演示了可添加到 Query.asp 中以限制查询长度的额外代码。这些额外代码有助于防止有人企图利用此漏洞。可以通过类似方法更新其他操作系统 SDK 示例查询页。
    if right(SearchString, 1) = chr(34) then
            SrchStrLen = SrchStrLen-1
            SearchString = left(SearchString, SrchStrLen)
    end if

    SrchStrLen = len( SearchString )
    if SrchStrLen > 60 then
            SrchStrLen = 60
            SearchString = left( SearchString, 60 )
    end if

    if Advanced<> "on" then
      CompSearch = "{freetext} " &  SearchString & "{/freetext}"
    else
      CompSearch = SearchString
    end if

    set Q = Server.CreateObject("ixsso.Query")
    set Util = Server.CreateObject("ixsso.Util")

有关安全更新 871250 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
871250 MS05-003:索引服务中的漏洞可能允许远程代码执行

属性

文章编号: 890621 - 最后修改: 2005年1月14日 - 修订: 1.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
关键字:?
kbhowto kbinfo kbsecurity kbadmin kbexpertiseadvanced KB890621
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com