FIX: 包含非转义的百分号 (%) 的请求可用于绕过筛选 IIS 7.0 中的模块在请求

文章翻译 文章翻译
文章编号: 960728 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

在经典 Request.QueryString 活动服务器页面 (ASP) helper 函数 (也称为"密钥"函数) 返回的值的函数中漏掉非转义的百分号 (%) 字符。因此,包含非转义的百分号 (%) 的请求可用于绕过请求筛选。例如对于 exec 字符串被阻止,如果恶意用户可以发送一个 电子 %xec 字符串,它绕过检查。

解决方案

下载信息

可从 Microsoft 下载中心下载以下文件:

Windows server 2008 (KB960728) 的更新

收起这个图片展开这个图片
Download
Download the Update for Windows Server 2008 package now.

Windows server 2008 的基于 Itanium 的系统 (KB960728) 的更新

收起这个图片展开这个图片
Download
Download the Update for Windows Server 2008 for Itanium-based Systems package now.

Windows Server 2008 x 64 版 (KB960728) 的更新

收起这个图片展开这个图片
Download
Download the Update for Windows Server 2008 x64 Edition package now.

Windows Vista (KB960728) 的更新

收起这个图片展开这个图片
Download
Download the Update for Windows Vista package now.

对于基于 x64 的系统 (KB960728) 的 Windows Vista 的更新

收起这个图片展开这个图片
Download
Download the Update for Windows Vista for x64-based Systems package now.

有关如何下载 Microsoft 的支持文件的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何获取 Microsoft 的支持文件从联机服务
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全增强型服务器上,这有助于防止未经授权的情况下对其进行更改,对该文件。

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现本文所述问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

重要的 Windows Vista 和 Windows Server 2008 修复程序包含在相同的程序包中。但是,这些产品中只有一个可能会列出修补程序请求页上。若要请求此修补程序包,适用于 Windows Vista 和 Windows Server 2008,只需选择页上列出的产品。

系统必备组件

您必须具有 Windows Vista Service Pack 1 或 Windows Server 2008 安装要应用此修补程序。

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的 日期和时间 项中的 时区 选项卡。
IIS 7.0 x86
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Modrqflt.dll7.0.6001.2233137,8882008 年十二月 16 日04: 29x86
Admwprox.dll7.0.6001.2233151,7122008 年十二月 16 日04: 26x86
Ahadmin.dll7.0.6001.2233127,1362008 年十二月 16 日04: 26x86
Appcmd.exe7.0.6001.22331154,1122008 年十二月 16 日02: 42x86
Appcmd.xml不适用3,6542007 年十二月 18 日21: 00不适用
Applicationhost.config不适用7,9892007 年十二月 18 日21: 00不适用
Appobj.dll7.0.6001.22331311,8082008 年十二月 16 日04: 26x86
Aspnetca.exe7.0.6001.22331182,7842008 年十二月 16 日02: 42x86
Aspnet_schema.xml不适用38,7862007 年十二月 18 日21: 00不适用
Fx_schema.xml不适用26,9712007 年十二月 18 日21: 00不适用
Iismig.dll7.0.6001.22331209,4082008 年十二月 16 日04: 32x86
Iisreg.dll7.0.6001.2233189,0882008 年十二月 16 日04: 27x86
Iisres.dll7.0.6001.22331193,0242008 年十二月 16 日02: 42x86
Iisreset.exe7.0.6001.2233114,8482008 年十二月 16 日02: 42x86
Iisrstap.dll7.0.6001.223318,1922008 年十二月 16 日04: 27x86
Iisrstas.exe7.0.6001.2233131,2322008 年十二月 16 日02: 42x86
Iisrtl.dll7.0.6001.22331153,6002008 年十二月 16 日04: 27x86
Iissetup.exe7.0.6001.22331228,8642008 年十二月 16 日02: 43x86
Iissyspr.dll7.0.6001.2233159,3922008 年十二月 16 日04: 27x86
Iisutil.dll7.0.6001.22331202,7522008 年十二月 16 日04: 27x86
Iis_schema.xml不适用77,8302008 年十二月 15 日23: 22不适用
Nativerd.dll7.0.6001.22331331,2642008 年十二月 16 日04: 30x86
Redirection.config不适用4902007 年十二月 18 日21: 00不适用
Rsca.dll7.0.6001.2233126,6242008 年十二月 16 日04: 31x86
Rscaext.dll6.0.6001.2233138,9122008 年十二月 16 日04: 31x86
Rscaext.xml不适用8,3632007 年十二月 18 日21: 00不适用
W3ctrlps.dll7.0.6001.223319,2162008 年十二月 16 日04: 32x86
Wamregps.dll7.0.6001.2233110,7522008 年十二月 16 日04: 32x86
IIS 7.0 x64
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Modrqflt.dll7.0.6001.2233146,5922008 年十二月 16 日04: 55x64
Admwprox.dll7.0.6001.2233154,7842008 年十二月 16 日04: 51x64
Ahadmin.dll7.0.6001.2233161,4402008 年十二月 16 日04: 51x64
Appcmd.exe7.0.6001.22331191,4882008 年十二月 16 日03: 17x64
Appcmd.xml不适用3,6542007 年十二月 18 日21: 00不适用
Applicationhost.config不适用7,9892007 年十二月 18 日21: 00不适用
Appobj.dll7.0.6001.22331379,3922008 年十二月 16 日04: 51x64
Aspnetca.exe7.0.6001.22331218,6242008 年十二月 16 日03: 17x64
Aspnet_schema.xml不适用38,7862007 年十二月 18 日21: 01不适用
Fx_schema.xml不适用26,9712007 年十二月 18 日21: 01不适用
Iismig.dll7.0.6001.22331242,6882008 年十二月 16 日04: 58x64
Iisreg.dll7.0.6001.22331111,6162008 年十二月 16 日04: 53x64
Iisres.dll7.0.6001.22331193,0242008 年十二月 16 日03: 17x64
Iisreset.exe7.0.6001.2233116,8962008 年十二月 16 日03: 16x64
Iisrstap.dll7.0.6001.2233111,2642008 年十二月 16 日04: 53x64
Iisrstas.exe7.0.6001.2233134,8162008 年十二月 16 日03: 16x64
Iisrtl.dll7.0.6001.22331192,5122008 年十二月 16 日04: 53x64
Iissetup.exe7.0.6001.22331280,0642008 年十二月 16 日03: 17x64
Iissyspr.dll7.0.6001.2233166,5602008 年十二月 16 日04: 53x64
Iisutil.dll7.0.6001.22331275,4562008 年十二月 16 日04: 53x64
Iis_schema.xml不适用77,8302008 年十二月 15 日23: 22不适用
Nativerd.dll7.0.6001.22331416,7682008 年十二月 16 日04: 56x64
Redirection.config不适用4902007 年十二月 18 日21: 01不适用
Rsca.dll7.0.6001.2233131,2322008 年十二月 16 日04: 58x64
Rscaext.dll6.0.6001.2233144,0322008 年十二月 16 日04: 58x64
Rscaext.xml不适用8,3632007 年十二月 18 日21: 01不适用
W3ctrlps.dll7.0.6001.2233113,8242008 年十二月 16 日04: 59x64
Wamregps.dll7.0.6001.2233115,8722008 年十二月 16 日04: 59x64
Modrqflt.dll7.0.6001.2233137,8882008 年十二月 16 日04: 29x86
Admwprox.dll7.0.6001.2233151,7122008 年十二月 16 日04: 26x86
Ahadmin.dll7.0.6001.2233127,1362008 年十二月 16 日04: 26x86
Appcmd.exe7.0.6001.22331154,1122008 年十二月 16 日02: 42x86
Appcmd.xml不适用3,6542007 年十二月 18 日21: 00不适用
Appobj.dll7.0.6001.22331311,8082008 年十二月 16 日04: 26x86
Aspnetca.exe7.0.6001.22331182,7842008 年十二月 16 日02: 42x86
Iismig.dll7.0.6001.22331209,4082008 年十二月 16 日04: 32x86
Iisreg.dll7.0.6001.2233189,0882008 年十二月 16 日04: 27x86
Iisres.dll7.0.6001.22331193,0242008 年十二月 16 日02: 42x86
Iisreset.exe7.0.6001.2233114,8482008 年十二月 16 日02: 42x86
Iisrstap.dll7.0.6001.223318,1922008 年十二月 16 日04: 27x86
Iisrtl.dll7.0.6001.22331153,6002008 年十二月 16 日04: 27x86
Iissetup.exe7.0.6001.22331228,8642008 年十二月 16 日02: 43x86
Iissyspr.dll7.0.6001.2233159,3922008 年十二月 16 日04: 27x86
Iisutil.dll7.0.6001.22331202,7522008 年十二月 16 日04: 27x86
Nativerd.dll7.0.6001.22331331,2642008 年十二月 16 日04: 30x86
Rsca.dll7.0.6001.2233126,6242008 年十二月 16 日04: 31x86
Rscaext.dll6.0.6001.2233138,9122008 年十二月 16 日04: 31x86
W3ctrlps.dll7.0.6001.223319,2162008 年十二月 16 日04: 32x86
Wamregps.dll7.0.6001.2233110,7522008 年十二月 16 日04: 32x86
IIS 7.0 ia64
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Modrqflt.dll7.0.6001.2233196,2562008 年十二月 16 日04: 36IA 64
Admwprox.dll7.0.6001.22331119,8082008 年十二月 16 日04: 31IA 64
Ahadmin.dll7.0.6001.2233182,4322008 年十二月 16 日04: 31IA 64
Appcmd.exe7.0.6001.22331404,9922008 年十二月 16 日03: 03IA 64
Appcmd.xml不适用3,6542007 年十二月 18 日21: 00不适用
Applicationhost.config不适用7,9892007 年十二月 18 日21: 00不适用
Appobj.dll7.0.6001.22331727,5522008 年十二月 16 日04: 31IA 64
Aspnetca.exe7.0.6001.22331432,1282008 年十二月 16 日03: 04IA 64
Aspnet_schema.xml不适用38,7862007 年十二月 18 日21: 01不适用
Fx_schema.xml不适用26,9712007 年十二月 18 日21: 01不适用
Iismig.dll7.0.6001.22331452,0962008 年十二月 16 日04: 39IA 64
Iisreg.dll7.0.6001.22331143,8722008 年十二月 16 日04: 34IA 64
Iisres.dll7.0.6001.22331193,0242008 年十二月 16 日03: 03IA 64
Iisreset.exe7.0.6001.2233134,8162008 年十二月 16 日03: 03IA 64
Iisrstap.dll7.0.6001.2233118,9442008 年十二月 16 日04: 34IA 64
Iisrstas.exe7.0.6001.2233178,3362008 年十二月 16 日03: 03IA 64
Iisrtl.dll7.0.6001.22331393,2162008 年十二月 16 日04: 34IA 64
Iissetup.exe7.0.6001.22331543,2322008 年十二月 16 日03: 04IA 64
Iissyspr.dll7.0.6001.22331134,6562008 年十二月 16 日04: 34IA 64
Iisutil.dll7.0.6001.22331513,0242008 年十二月 16 日04: 35IA 64
Iis_schema.xml不适用77,8302008 年十二月 15 日23: 21不适用
Nativerd.dll7.0.6001.22331899,5842008 年十二月 16 日04: 37IA 64
Redirection.config不适用4902007 年十二月 18 日21: 01不适用
Rsca.dll7.0.6001.2233174,2402008 年十二月 16 日04: 39IA 64
Rscaext.dll6.0.6001.22331111,6162008 年十二月 16 日04: 39IA 64
Rscaext.xml不适用8,3632007 年十二月 18 日21: 01不适用
W3ctrlps.dll7.0.6001.2233122,5282008 年十二月 16 日04: 40IA 64
Wamregps.dll7.0.6001.2233128,1602008 年十二月 16 日04: 40IA 64
Modrqflt.dll7.0.6001.2233137,8882008 年十二月 16 日04: 29x86
Admwprox.dll7.0.6001.2233151,7122008 年十二月 16 日04: 26x86
Ahadmin.dll7.0.6001.2233127,1362008 年十二月 16 日04: 26x86
Appcmd.exe7.0.6001.22331154,1122008 年十二月 16 日02: 42x86
Appcmd.xml不适用3,6542007 年十二月 18 日21: 00不适用
Appobj.dll7.0.6001.22331311,8082008 年十二月 16 日04: 26x86
Aspnetca.exe7.0.6001.22331182,7842008 年十二月 16 日02: 42x86
Iismig.dll7.0.6001.22331209,4082008 年十二月 16 日04: 32x86
Iisreg.dll7.0.6001.2233189,0882008 年十二月 16 日04: 27x86
Iisres.dll7.0.6001.22331193,0242008 年十二月 16 日02: 42x86
Iisreset.exe7.0.6001.2233114,8482008 年十二月 16 日02: 42x86
Iisrstap.dll7.0.6001.223318,1922008 年十二月 16 日04: 27x86
Iisrtl.dll7.0.6001.22331153,6002008 年十二月 16 日04: 27x86
Iissetup.exe7.0.6001.22331228,8642008 年十二月 16 日02: 43x86
Iissyspr.dll7.0.6001.2233159,3922008 年十二月 16 日04: 27x86
Iisutil.dll7.0.6001.22331202,7522008 年十二月 16 日04: 27x86
Nativerd.dll7.0.6001.22331331,2642008 年十二月 16 日04: 30x86
Rsca.dll7.0.6001.2233126,6242008 年十二月 16 日04: 31x86
Rscaext.dll6.0.6001.2233138,9122008 年十二月 16 日04: 31x86
W3ctrlps.dll7.0.6001.223319,2162008 年十二月 16 日04: 32x86
Wamregps.dll7.0.6001.2233110,7522008 年十二月 16 日04: 32x86

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

参考

第一次在 Microsoft 知识库文章 957508 描述的修复程序中引入此修补程序引入了功能。安装本文介绍了启用该修复程序文章 957508 功能的描述。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
957508有可用更新的请求筛选在 IIS 7.0 模块提供改进的功能
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明
有关如何使用这些增强的功能的详细信息请访问下面的 Microsoft 网站:
http://learn.iis.net/page.aspx/504/using-enhanced-request-filtering-features-in-iis7
有关如何使用筛选的请求的详细信息请访问下面的 Microsoft 网站:
http://learn.iis.net/page.aspx/143/how-to-use-request-filtering

属性

文章编号: 960728 - 最后修改: 2009年2月3日 - 修订: 2.1
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 7.0
关键字:?
kbmt kbsurveynew kbhotfixserver kbautohotfix kbexpertiseinter kbqfe KB960728 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 960728
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com