Patch für Problem mit Kanonisierungsfehler freigegeben

Dieser Artikel wurde zuvor veröffentlicht unter D43152
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
269862 Patch Released for Canonicalization Error Issue
Problembeschreibung
Microsoft hat einen Sicherheitspatch zur Verfügung gestellt, der einen Kanonisierungsfehler behebt, der einem böswilligen Benutzer die Möglichkeit eröffnet, zusätzliche Berechtigungen für bestimmte Dateien zu erlangen, die auf einem Webserver gespeichert sind.

Ob und in welchem Umfang dieser Sicherheitsmangel böswillig ausgenutzt werden kann, ist von diversen Faktoren abhängig:
  • Es sind nur Dateitypen betroffen, die über ISAPI-Erweiterungen implementiert werden. Statische Webseiten-Dateitypen oder Nicht-Web-Dateitypen, wie zum Beispiel .exe, .doc oder .bat, sind nicht betroffen.
  • Es sind nur Server mit einer Webordnerstruktur betroffen, welche die physische Ordnerstruktur auf dem Server widerspiegelt. Virtuelle Verzeichnisse sind nicht bedroht.
  • Es können nicht beliebige Typen von Berechtigungen ausgewählt werden sondern nur solche Berechtigungen, die bei einem vorhandenen Ordner bereits existieren.
  • Es gibt keine Möglichkeit, den Server gezielt nach Dateien zu durchsuchen, die für diesen Sicherheitsmangel anfällig sind.
Lösung
Internet Information Services 5.0:
Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich. Dieses Update ist jedoch noch nicht auf allen Betriebssystemen überprüft worden und sollte daher nur bei Systemen angewendet werden, bei denen dieses spezielle Problem auftritt. Wenn Ihr System durch dieses Problem nicht schwer wiegend beeinträchtigt ist, empfiehlt Microsoft, auf das nächste Service Pack zu warten, das dieses Update enthält.

Um dieses Problem sofort zu beheben, laden Sie sich das Update den nachstehenden Anweisungen entsprechend herunter oder wenden Sie sich an den Microsoft Software Service, um das Update anzufordern. Eine vollständige Liste mit Telefonnummern des Microsoft Software Service finden Sie unter der folgenden Adresse im World Wide Web:
   http://support.microsoft.com/default.aspx?scid=fh;DE;PHONENUMBERS
Folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
   Dateiname: Q269862_w2k_sp2_x86_de.exe   URL      : http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24716
Internet Information Server 4.0:
Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich. Dieses Update ist jedoch noch nicht auf allen Betriebssystemen überprüft worden und sollte daher nur bei Systemen angewendet werden, bei denen dieses spezielle Problem auftritt. Wenn Ihr System durch dieses Problem nicht schwer wiegend beeinträchtigt ist, empfiehlt Microsoft, auf das nächste Service Pack zu warten, das dieses Update enthält.

Um dieses Problem sofort zu beheben, laden Sie sich das Update den nachstehenden Anweisungen entsprechend herunter oder wenden Sie sich an den Microsoft Software Service, um das Update anzufordern. Eine vollständige Liste mit Telefonnummern des Microsoft Software Service finden Sie unter der folgenden Adresse im World Wide Web:
   http://support.microsoft.com/default.aspx?scid=fh;DE;PHONENUMBERS
Folgende Dateien stehen für Intel und Alpha Prozessoren im Microsoft Download Center zum Download zur Verfügung:
   x86          : Prmcan4i.exe   x86-Symbole  : Prmcan4is.exe   Alpha        : Prmcan4a.exe   Alpha-Symbole: Prmcan4as.exe   URL          : http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23673
HINWEIS: Ein Administrator, der sowohl Kernel- als auch Benutzermodus-Debugging durchführen möchte, benötigt hierzu Debug-Symboldateien. Diese Dateien bieten eine Methode zur Auflösung globaler Variablen und Funktionsnamen, die in der ausführbaren Datei geladen sind. Diese Symboldateien sind durch ein "s" im Dateinamen gekennzeichnet (zum Beispiel "Prmcan4is.exe").
Status
Microsoft hat bestätigt, dass es sich dabei um ein Problem bei den Microsoft-Produkten handelt, die zu Beginn dieses Artikels aufgeführt sind.
Weitere Informationen
Zusätzliche Informationen zu diesem Problem finden Sie auf folgender Microsoft-Website:
   http://www.microsoft.com/technet/security/bulletin/ms00-057.asp
Häufig gestellte Fragen zu diesem Sicherheitsmangel finden Sie auf folgender Microsoft-Website:
   http://www.microsoft.com/technet/security/bulletin/fq00-057.asp
Weitere Informationen zum Herunterladen von Dateien vom Microsoft Download Center finden Sie im Download Center unter der folgenden Webadresse:
   http://www.microsoft.com/germany/download
Klicken Sie anschließend auf "Hilfe zur Verwendung des Download Centers und Feedback zu fehlenden Downloads" (HOW TO USE THE MICROSOFT DOWNLOAD CENTER).

Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war, um diese Datei auf Viren zu prüfen. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an der Datei verhindert werden.

Weitere Suchbegriffe: zugriff berechtigungen berechtigungstyp isapi erweiterung

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

kbWinNT400PreSP7Fix
Eigenschaften

Artikelnummer: 269862 – Letzte Überarbeitung: 01/11/2015 03:47:11 – Revision: 1.0

  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • kbnosurvey kbarchive kbwinnt400presp7fix KB269862
Feedback