MS11-051: Ένα θέμα ευπάθειας στην εγγραφή Web των υπηρεσιών πιστοποιητικού της υπηρεσίας καταλόγου Active Directory θα μπορούσε να επιτρέψει προβιβασμό δικαιωμάτων: 14 Ιουνίου 2011

ΕΙΣΑΓΩΓΗ

Η Microsoft έχει κυκλοφορήσει το ενημερωτικό δελτίο ασφάλειας MS11-051. Για να προβάλετε το πλήρες ενημερωτικό δελτίο ασφάλειας, επισκεφθείτε μία από τις ακόλουθες τοποθεσίες της Microsoft στο Web:

Τρόπος λήψης βοήθειας και υποστήριξης για αυτήν την ενημέρωση ασφάλειας

Για τους οικιακούς χρήστες, παρέχεται υποστήριξη χωρίς χρέωση, μέσω κλήσης του αριθμού 1-866-PCSAFETY στις Ηνωμένες Πολιτείες και τον Καναδά ή μέσω επικοινωνίας με τη θυγατρική της Microsoft στην περιοχή σας. Για περισσότερες πληροφορίες σχετικά με τον τρόπο επικοινωνίας με τη θυγατρική της Microsoft στην περιοχή σας για ζητήματα υποστήριξης ενημερώσεων ασφάλειας, επισκεφθείτε την τοποθεσία διεθνούς υποστήριξης της Microsoft στο Web: Οι πελάτες που ζουν στη Βόρεια Αμερική μπορούν να έχουν άμεση πρόσβαση χωρίς χρέωση σε απεριόριστη υποστήριξη μέσω ηλεκτρονικού ταχυδρομείου ή μέσω προσωπικής συνομιλίας, με μια απλή επίσκεψη στην ακόλουθη τοποθεσία της Microsoft στο Web: Για τους εταιρικούς χρήστες, η υποστήριξη για ενημερώσεις ασφάλειας είναι διαθέσιμη μέσω των συνηθισμένων επαφών υποστήριξης.

Περισσότερες πληροφορίες

Γνωστά ζητήματα σχετικά με αυτήν την ενημέρωση ασφάλειαςΜετά την εγκατάσταση αυτής της ενημέρωσης ασφάλειας, ενδέχεται να αντιμετωπίσετε τα ακόλουθα προβλήματα:


 • Οι χαρακτήρες του συνόλου χαρακτήρων διπλού Byte (DBCS) στο όνομα του πιστοποιητικού δεν εμφανίζονται σωστά στην ιστοσελίδα "Εμφάνιση της κατάστασης αίτησης πιστοποιητικού σε εκκρεμότητα" της τοποθεσίας εγγραφής για μια αρχή έκδοσης πιστοποιητικών (CA).

  Για να επιλύσετε αυτό το πρόβλημα:
  • Στα Windows 2008 R2, εγκαταστήστε την άμεση επιδιόρθωση 2637070. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
   2637070
   Οι χαρακτήρες DBCS στο όνομα κάποιου πιστοποιητικού δεν εμφανίζονται σωστά εάν έχει εγκατασταθεί το KB 2518295 σε Windows Server 2008 R2 (Ενδέχεται να είναι στα Αγγλικά)
  • Στις πλατφόρμες Win2003 και Win2008, θα πρέπει να επεξεργαστείτε το αρχείο certckpn.asp. Το αρχείο certckpn.asp βρίσκεται στον ακόλουθο φάκελο:
   %systemroot%\System32\certsrv\<φάκελος γλώσσας>\
   • Αλλάξτε τα ακόλουθα:
    sFieldFriendlyType = Server.HTMLEncode(Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'"))
    ως εξής:
    sFieldFriendlyType = Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'")
   • Αλλάξτε τα ακόλουθα:
    <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></Span>
    ως εξής:
    <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></Span>
   • Αλλάξτε τα ακόλουθα:
    <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></A>
    ως εξής:
    <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></A>
 • Όταν προσπαθείτε να υποβάλετε αίτηση για κάποιο πιστοποιητικό, ενδέχεται να λάβετε ένα μήνυμα σφάλματος παρόμοιο με το ακόλουθο:
  Προέκυψε σφάλμα στο διακομιστή κατά την επεξεργασία της διεύθυνσης URL. Επικοινωνήστε με το διαχειριστή του συστήματος.


  Το πρόβλημα προκύπτει μετά την υποβολή της αίτησης μέσω των σελίδων ASP εγγραφής στο Web, όταν ισχύουν τα εξής:

  • Έχει ρυθμιστεί το στοιχείο CA Certificate Manager Approval στο πρότυπο.
  • Η τιμή του στοιχείου Ενεργοποίηση αποθήκευσης στο buffer (Enable Buffering) έχει ρυθμιστεί ως False στις υπηρεσίες IIS.
  • Έχει ενεργοποιηθεί ο ρόλος εγγραφής Web.
  Για την επιδιόρθωση του προβλήματος, θα πρέπει να επεξεργαστείτε το αρχείο certrspn.asp. Το αρχείο certrspn.asp βρίσκεται στον ακόλουθο φάκελο:  %systemroot%\System32\certsrv\<φάκελος γλώσσας>\
  Εφαρμόστε τις ακόλουθες αλλαγές χρησιμοποιώντας ένα πρόγραμμα επεξεργασίας κειμένου και, στη συνέχεια, αποθηκεύστε το αρχείο certrspn:


  • Αλλάξτε τα ακόλουθα:
   <!-- Windows Security Update, KB2518295 has replaced some of the CA Web Enrollment ASP files -->
   ως εξής:
   <%’ Windows Security Update, KB2518295 has replaced some of the CA Web Enrollment ASP files %>
  • Αλλάξτε τα ακόλουθα:
   <!-- Please see http://www.support.microsoft.com/kb/2518295 for the back-up location of the previous ASP files -->
   ως εξής:
   <%’ Please see http://www.support.microsoft.com/kb/2518295 for the back-up location of the previous ASP files %>
 • Υπάρχει ένα γνωστό ζήτημα για πελάτες που διαθέτουν προσαρμοσμένες σελίδες ASP εγγραφής Web. Όταν είναι ενεργοποιημένος ένα ρόλος αρχής έκδοσης πιστοποιητικών (CA) σε Windows Server 2003, Windows Server 2008 ή Windows Server 2008 R2, τα δείγματα σελίδων web εγγραφής ASP τοποθετούνται στο φάκελο του διακομιστή πιστοποιητικών (στη διαδρομή %windir%\system32\Certsrv). Οι πελάτες ενδέχεται να έχουν επεξεργαστεί αυτές τις σελίδες για να τις προσαρμόσουν στις ανάγκες τους.

  Η ενημέρωση ασφάλειας που περιγράφεται στο MS11-051 διορθώνει ένα θέμα ευπάθειας δεσμών ενεργειών μεταξύ τοποθεσιών σε αυτές τις σελίδες. Όταν εγκατασταθεί η ενημέρωση ασφάλειας, οι ασφαλείς σελίδες θα αντικαταστήσουν τις υπάρχουσες σελίδες ASP.

  Για να αποφευχθεί η πιθανή απώλεια δεδομένων, η Microsoft συνιστά στους πελάτες να δημιουργήσουν αντίγραφα ασφάλειας των προσαρμοσμένων σελίδων τους ASP πριν την εγκατάσταση της ενημέρωσης ασφάλειας. Μετά την εγκατάσταση της ενημέρωσης ασφάλειας, οι πελάτες πρέπει να συγχωνεύσουν τις προσαρμογές τους στις ασφαλείς σελίδες ASP.

  Προειδοποίηση: Εάν καταργήσετε κατά λάθος την επιδιόρθωση αυτής της ευπάθειας, ενδέχεται να είστε ευάλωτοι σε επιθέσεις από δέσμες ενεργειών μεταξύ τοποθεσιών. Η Microsoft δεν εγγυάται την ασφάλεια του συστήματός σας μετά την αλλαγή αυτών των σελίδων.

  Για τους πελάτες που δεν δημιούργησαν αντίγραφα ασφάλειας των προσαρμοσμένων σελίδων τους πριν την εγκατάσταση της ενημέρωσης ασφάλειας, το λογισμικό εγκατάστασης του Windows Update δημιουργεί αυτόματα αντίγραφα ασφάλειας των αρχικών σελίδων. Οι θέσεις στις οποίες δημιουργούνται τα αντίγραφα ασφάλειας διαφέρουν για κάθε πλατφόρμα, αρχιτεκτονική και επίπεδο service pack. Ανατρέξτε στον παρακάτω πίνακα για την ακριβή θέση.

  Προσοχή: Εάν κατά λάθος τροποποιήσετε ή καταργήσετε τα αρχεία αυτών των καταλόγων, ενδέχεται να δημιουργήσετε σοβαρά προβλήματα και να είναι απαραίτητη η επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν εγγυάται ότι θα μπορείτε να επιδιορθώσετε προβλήματα που προκύπτουν εξαιτίας της αλλαγής ή της διαγραφής αρχείων που περιέχονται σε αυτές τις θέσεις του λειτουργικού συστήματος.
  ΠροϊόνΘέση στην οποία δημιουργούνται αντίγραφα ασφάλειας των προσαρμοσμένων σελίδων web εγγραφής
  Windows Server 2008 R2%windir%/winsxs/arch_microsoft-windows-webenroll.resources_31bf3856ad364e35_version_language SKU_hash

  Όπου,
  • arch είναι ‘x86’ εάν η αρχιτεκτονική είναι x86, ή αλλιώς ‘amd64’.
  • version είναι ‘6.1.7600.16385’ για την έκδοση κυκλοφορίας του Windows Server 2008 R2 και ‘6.1.7601.17514’ για τον Windows Server 2008 R2 SP1.
  • language SKU ποικίλλει ανάλογα με τη γλώσσα. Για παράδειγμα, είναι ‘en-us’ για αγγλικά, ‘de-de’ για γερμανικά και ‘ja-jp’ για ιαπωνικά.
  • hash είναι το κλειδί κατακερματισμού 48-bit που ποικίλλει ανά πλατφόρμα, αρχιτεκτονική, service pack και γλώσσα.
  Windows Server 2008%windir%/winsxs/arch_microsoft-windows-webenroll.resources_31bf3856ad364e35_version_language SKU_hash

  Όπου,
  • arch είναι ‘x86’ εάν η αρχιτεκτονική είναι x86, ή αλλιώς ‘amd64’.
  • version είναι ‘6.0.6001.18000’ εάν είναι εγκατεστημένο το SP1 και ‘6.0.6002.18005’ εάν είναι εγκατεστημένο το SP2.
  • language SKU ποικίλλει ανάλογα με τη γλώσσα. Για παράδειγμα, είναι ‘en-us’ για αγγλικά, ‘de-de’ για γερμανικά και ‘ja-jp’ για ιαπωνικά.
  • hash είναι το κλειδί κατακερματισμού 48-bit που ποικίλλει ανά πλατφόρμα, αρχιτεκτονική, service pack και γλώσσα.
  Windows Server 2003Κρυφός φάκελος %windir%/$NtUninstallKB2518295$
  Windows Server 2000Κρυφός φάκελος %windir%/$NtUninstallKB2518295$
  Windows NT4 ServerΚρυφός φάκελος %windir%/$NtUninstallKB2518295$

ΠΛΗΡΟΦΟΡΙΕΣ ΑΡΧΕΙΟΥ


Για μια λίστα αρχείων που παρέχονται σε αυτά τα πακέτα, κάντε κλικ στον ακόλουθο σύνδεσμο:


Ιδιότητες

Αναγνωριστικό άρθρου: 2518295 - Τελευταία αναθεώρηση: 22 Δεκ 2011 - Αναθεώρηση: 1

Σχόλια