الحل المتوفرة مشكلة عدم حصانة برامج عرض ملف

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

231368
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الأعراض
قامت Microsoft بتعريف ثغرة أمنية تحدث في بعض برامج عرض الملفات التي تم تضمينها مع ملقم الموقع Microsoft و ملقم معلومات إنترنت.

ويمكن أن تسمح مشكلة عدم الحصانة لزائر موقع ويب عرض ولكن ليس تغيير ، الملفات على الملقم، بشرط أن يعرف الزائر أو تخمين اسم كل ملف وأن لديه حقوق الوصول إلى ملف يستند إلى Windows NT Access التحكم القوائم (ACLs).
السبب
لا تقييد أدوات عارض ملف الملفات التي يمكن عرض مستخدم.
الحل

موقع Server 3.0

لحل هذه المشكلة، يجب الحصول على أحدث حزمة خدمة لـ الموقع Server 3.0. للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
219292كيفية الحصول على أحدث حزمة خدمة Server 3.0 الموقع
تم تصحيح هذه المشكلة لأول مرة في الموقع Server 3.0 المزود بحزمة الخدمة Service Pack 3.

IIS 4.0

لقد تم تطوير IIS 4.0 إصلاح ثم قد تم نشرها إلى موقع إنترنت التالية Fix2450I.exe (Intel) أو Fix2450A.exe (ألفا):
الحل البديل
لحل مشكلة عدم الحصانة على ملقم ويب الخاص بك يمكن أن يكون سبب هذه عارضي الملف, يجب:

  • إزالة عارضي الملف المتأثرة ما لم وهي مطلوبة على موقع ويب بشكل خاص. تتأثر عارضي الملف التالي: ViewCode.asp و ShowCode.asp Code.asp CodeBrws.asp و Winmsdp.exe. استناداً إلى التثبيت معينة قد تكون موجودة على ملقم كافة هذه الملفات. قد يكون هناك عدة نسخ من بعض الملفات حتى يجب إجراء بحث كامل خوادم لتحديد موقع كافة النسخ.
  • مع إرشادات الأمان القياسي الملف يجب أن يتم تعيين الأذونات دائماً لتمكين زائري ويب للحصول على حق الوصول إلى الملفات فقط أنها الحاجة و لم الآخرين. ملفات مطلوبة من قبل ويب يجب أن يوفر زوار أقل الامتيازات المطلوبة. على سبيل المثال، الملفات زائري ويب يجب أن تكون قادراً على قراءة ولكن لا الكتابة يجب تعيين إلى للقراءة فقط.
  • كقاعدة عامة الجذور الظاهرية (vroots) والملفات نموذج يجب دائماً حذف من ملقم ويب قبل وضعه في الإنتاج. إذا كانت مطلوبة vroots والملفات نموذج استخدام أذونات الوصول إلى الملف تضبط الوصول إليها بشكل مناسب
معلومات أخرى
يتضمن Microsoft Server موقع ملقم معلومات إنترنت (IIS) أدوات السماح لزوار الموقع عرض الملفات المحددة على الخادم. هذه الأدوات مثبتة بشكل افتراضي في "موقع ملقم" ولكن يجب أن يكون مثبتاً بشكل صريح في IIS. هذه الأدوات يتم توفير للسماح للمستخدمين بعرض التعليمات البرمجية المصدر من ملفات النماذج كـ تمرين التعرف ولا يتم الغرض نشرها على ملقمات ويب الإنتاج. هو المشكلة الأساسية في مشكلة عدم الحصانة هذه لا تقييد الأدوات الملفات التي يمكن عرضها لزائر موقع ويب.

لاحظ النقاط الهامة التالية:
  • لم يتم تثبيت برامج عرض هذه الملفات بشكل افتراضي في IIS. يتم تثبيتها في IIS فقط إذا اخترت تثبيت ملفات ويب عينة.
  • تسمح مشكلة عدم الحصانة هذه قيام أحد زوار موقع ويب فقط على عرض الملفات. يوجد لم إمكانية تغيير ملفات أو إضافة ملفات إلى الخادم.
  • مشكلة عدم الحصانة هذه لا بأي طريقة تجاوز الإذن ملف Windows NT ACLs. يمكن لزائر موقع ويب استخدام هذه الأدوات لعرض الملفات الخاصة به ACLs يسمح لهم حق الوصول للقراءة فقط. يحدد مسؤول ملقم ويب أذونات معينة لكافة الملفات الموجودة على الملقم.
  • يمكن استخدام برامج عرض عرض الملفات على نفس القسم كصفحة ويب المعروضة حالياً فقط. قواعد بيانات مثل تلك المستخدمة من قبل ملقمات التجارة الإلكترونية يتم عادةً تخزين على محرك أقراص فعلي آخر ثم لن تكون في خطر.
  • يحتاج لزائر موقع ويب إلى معرفة أو تخمين اسم كل ملف يرغبون في عرض.

مراجع إضافية

تصحيح الإصلاح العاجل الإصلاح السريع الافتراضي إعداد إعداد خرق المتسلل الأداة المساعدة viewcode قراءة راجع akz cpa المصدر

تحذير: تمت ترجمة هذا المقال تلقائياً

خصائص

رقم الموضوع: 231368 - آخر مراجعة: 02/21/2014 00:36:14 - المراجعة: 4.3

  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
  • kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtar
تعليقات