Omgåelse af svaghed i indekseringstjenesten, som kan tillade fjernkørsel af programkode

Support til Windows XP er ophørt

Microsoft ophørte med at yde support til Windows XP den 8. april 2014. Denne ændring har haft indflydelse på dine softwareopdateringer og sikkerhedsindstillinger. Se, hvad det betyder for dig, og hvordan du kan forblive beskyttet.

Support til Windows Server 2003 ophørte den 14. juli 2015

Microsoft afsluttede support til Windows Server 2003 den 14. juli 2015. Denne ændring har haft indflydelse på dine softwareopdateringer og sikkerhedsindstillinger. Se, hvad det betyder for dig, og hvordan du kan forblive beskyttet.

Denne artikel er blevet arkiveret. Den vises "som den er og forefindes" og opdateres ikke længere.
INTRODUKTION
En svaghed i indekseringstjenesten kan tillade fjernkørsel af programkode. Denne svaghed omfatter specielt udformede forespørgsler, der er længere end 62 tegn. Sikkerhedsopdatering 871250 behandler problemet med denne svaghed. I denne artikel beskrives en teknik, der medvirker til at forhindre en hacker i at udnytte en svaghed på computere, som ikke har sikkerhedsopdatering 871250 installeret.
Yderligere Information

Operativsystemets SDK (Software Development K) indeholder eksempelkode (Query.asp), som kan bruges til at rette forespørgsel til indekseringstjenesten. Query.asp bruger Microsoft Internet Information Services (IIS) og indekseringstjenestens IXSSO-forespørgselsobjekt. Linjerne med fed skrift i følgende eksempel viser supplerende kode, som kan føjes til Query.asp for at begrænse forespørgslens længde. Den ekstra kode kan hjælpe dig med at forhindre forsøg på at udnytte denne svaghed. Du kan opdatere andre af operativsystemets SDK-eksempelforespørgselssider på samme måde.
    if right(SearchString, 1) = chr(34) then            SrchStrLen = SrchStrLen-1            SearchString = left(SearchString, SrchStrLen)    end if    SrchStrLen = len( SearchString )    if SrchStrLen > 60 then            SrchStrLen = 60            SearchString = left( SearchString, 60 )    end if    if Advanced<> "on" then      CompSearch = "{freetext} " &  SearchString & "{/freetext}"    else      CompSearch = SearchString    end if    set Q = Server.CreateObject("ixsso.Query")    set Util = Server.CreateObject("ixsso.Util")

Yderligere oplysninger om sikkerhedsopdatering 871250 finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
871250 MS05-003: Svaghed i indekseringstjenesten kan tillade fjernkørsel af programkode (artiklen er evt. på engelsk)
Egenskaber

Artikel-id: 890621 – Seneste udgave 01/16/2015 15:30:08 – Udgave 1.2

  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity kbadmin kbexpertiseadvanced KB890621
Feedback