REVISIÓN: Las solicitudes que contienen signos de porcentaje sin secuencias de escape (%) pueden utilizarse para eludir la solicitud de filtrado de módulo en IIS 7.0

Síntomas

La función de auxiliar de páginas Active Server (ASP) clásica de Request.QueryString (también conocido como la función de "clave") devuelve los valores en los que esta función elimina caracteres sin escape signo de porcentaje (%). Por lo tanto, las solicitudes que contienen signos de porcentaje sin secuencias de escape (%) pueden utilizarse para eludir el filtrado de solicitudes. Por ejemplo, si se bloquea la cadena de ejecución , un usuario malintencionado puede enviar una cadena e % xec que omita la comprobación.

Solución

Información de descarga

Los archivos siguientes están disponibles para su descarga desde Centro de descarga de Microsoft:

Actualización para Windows Server 2008 (KB960728)

Download Descargue ahora el paquete de actualización para Windows Server 2008.

Actualización para Windows Server 2008 para sistemas basados en Itanium (KB960728)

Download Descargue ahora la actualización para Windows Server 2008 para el paquete de sistemas basados en Itanium.

Actualización para Windows Server 2008 x64 Edition (KB960728)

Download Descargue ahora la actualización para Windows Server 2008 x 64 edición el paquete.

Actualización para Windows Vista (KB960728)

Download Descargue ahora el paquete de actualización para Windows Vista.

Actualización para Windows Vista para sistemas basados en x64 (KB960728)

Download Descargue ahora la actualización para Windows Vista para el paquete de sistemas basados en x64.

Para obtener más información acerca de cómo descargar archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
119591 cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft analizó este archivo en busca de virus. Microsoft ha utilizado el software de detección de virus más reciente que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores seguros que ayudan a evitar cambios no autorizados en el archivo.

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Revisiones importantes de Windows Vista y Windows Server 2008 se incluyen en los mismos paquetes. Sin embargo, sólo uno de estos productos puede aparecer en la página "Solicitud de revisión". Para solicitar el paquete de revisiones que se aplica a Windows Vista y Windows Server 2008, seleccione el producto que aparece en la página.

Requisitos previos

Debe tener Windows Vista Service Pack 1 o Windows Server 2008 instalado para aplicar esta revisión.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
IIS 7.0, x86
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Modrqflt.dll7.0.6001.2233137,88816-Dec-200804:29x86
Admwprox.dll7.0.6001.2233151,71216-Dec-200804:26x86
Ahadmin.dll7.0.6001.2233127.13616-Dec-200804:26x86
Appcmd.exe7.0.6001.22331154,11216-Dec-200802:42x86
Appcmd.xmlNo aplicable3,65418-Dec-200721:00No aplicable
Applicationhost.configNo aplicable7,98918-Dec-200721:00No aplicable
Appobj.dll7.0.6001.22331311,80816-Dec-200804:26x86
Aspnetca.exe7.0.6001.22331182,78416-Dec-200802:42x86
Aspnet_schema.xmlNo aplicable38,78618-Dec-200721:00No aplicable
Fx_schema.xmlNo aplicable26,97118-Dec-200721:00No aplicable
Iismig.dll7.0.6001.22331209,40816-Dec-200804:32x86
Iisreg.dll7.0.6001.2233189,08816-Dec-200804:27x86
Iisres.dll7.0.6001.22331193,02416-Dec-200802:42x86
Iisreset.exe7.0.6001.2233114.84816-Dec-200802:42x86
Iisrstap.dll7.0.6001.223318.19216-Dec-200804:27x86
Iisrstas.exe7.0.6001.2233131.23216-Dec-200802:42x86
Iisrtl.dll7.0.6001.22331153,60016-Dec-200804:27x86
Iissetup.exe7.0.6001.22331228,86416-Dec-200802:43x86
Iissyspr.dll7.0.6001.2233159,39216-Dec-200804:27x86
Iisutil.dll7.0.6001.22331202,75216-Dec-200804:27x86
Iis_schema.xmlNo aplicable77,83015-Dec-200823:22No aplicable
Nativerd.dll7.0.6001.22331331,26416-Dec-200804:30x86
Redirection.configNo aplicable49018-Dec-200721:00No aplicable
Rsca.dll7.0.6001.2233126.62416-Dec-200804:31x86
Rscaext.dll6.0.6001.2233138,91216-Dec-200804:31x86
Rscaext.xmlNo aplicable8,36318-Dec-200721:00No aplicable
W3ctrlps.dll7.0.6001.223319,21616-Dec-200804:32x86
Wamregps.dll7.0.6001.2233110,75216-Dec-200804:32x86
IIS 7.0, x64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Modrqflt.dll7.0.6001.2233146.59216-Dec-200804:55x64
Admwprox.dll7.0.6001.2233154,78416-Dec-200804:51x64
Ahadmin.dll7.0.6001.2233161.44016-Dec-200804:51x64
Appcmd.exe7.0.6001.22331191,48816-Dec-200803:17x64
Appcmd.xmlNo aplicable3,65418-Dec-200721:00No aplicable
Applicationhost.configNo aplicable7,98918-Dec-200721:00No aplicable
Appobj.dll7.0.6001.22331379,39216-Dec-200804:51x64
Aspnetca.exe7.0.6001.22331218,62416-Dec-200803:17x64
Aspnet_schema.xmlNo aplicable38,78618-Dec-200721:01No aplicable
Fx_schema.xmlNo aplicable26,97118-Dec-200721:01No aplicable
Iismig.dll7.0.6001.22331242,68816-Dec-200804:58x64
Iisreg.dll7.0.6001.22331111,61616-Dec-200804:53x64
Iisres.dll7.0.6001.22331193,02416-Dec-200803:17x64
Iisreset.exe7.0.6001.2233116.89616-Dec-200803:16x64
Iisrstap.dll7.0.6001.2233111.26416-Dec-200804:53x64
Iisrstas.exe7.0.6001.2233134,81616-Dec-200803:16x64
Iisrtl.dll7.0.6001.22331192,51216-Dec-200804:53x64
Iissetup.exe7.0.6001.22331280,06416-Dec-200803:17x64
Iissyspr.dll7.0.6001.2233166,56016-Dec-200804:53x64
Iisutil.dll7.0.6001.22331275,45616-Dec-200804:53x64
Iis_schema.xmlNo aplicable77,83015-Dec-200823:22No aplicable
Nativerd.dll7.0.6001.22331416,76816-Dec-200804:56x64
Redirection.configNo aplicable49018-Dec-200721:01No aplicable
Rsca.dll7.0.6001.2233131.23216-Dec-200804:58x64
Rscaext.dll6.0.6001.2233144,03216-Dec-200804:58x64
Rscaext.xmlNo aplicable8,36318-Dec-200721:01No aplicable
W3ctrlps.dll7.0.6001.2233113,82416-Dec-200804:59x64
Wamregps.dll7.0.6001.2233115.87216-Dec-200804:59x64
Modrqflt.dll7.0.6001.2233137,88816-Dec-200804:29x86
Admwprox.dll7.0.6001.2233151,71216-Dec-200804:26x86
Ahadmin.dll7.0.6001.2233127.13616-Dec-200804:26x86
Appcmd.exe7.0.6001.22331154,11216-Dec-200802:42x86
Appcmd.xmlNo aplicable3,65418-Dec-200721:00No aplicable
Appobj.dll7.0.6001.22331311,80816-Dec-200804:26x86
Aspnetca.exe7.0.6001.22331182,78416-Dec-200802:42x86
Iismig.dll7.0.6001.22331209,40816-Dec-200804:32x86
Iisreg.dll7.0.6001.2233189,08816-Dec-200804:27x86
Iisres.dll7.0.6001.22331193,02416-Dec-200802:42x86
Iisreset.exe7.0.6001.2233114.84816-Dec-200802:42x86
Iisrstap.dll7.0.6001.223318.19216-Dec-200804:27x86
Iisrtl.dll7.0.6001.22331153,60016-Dec-200804:27x86
Iissetup.exe7.0.6001.22331228,86416-Dec-200802:43x86
Iissyspr.dll7.0.6001.2233159,39216-Dec-200804:27x86
Iisutil.dll7.0.6001.22331202,75216-Dec-200804:27x86
Nativerd.dll7.0.6001.22331331,26416-Dec-200804:30x86
Rsca.dll7.0.6001.2233126.62416-Dec-200804:31x86
Rscaext.dll6.0.6001.2233138,91216-Dec-200804:31x86
W3ctrlps.dll7.0.6001.223319,21616-Dec-200804:32x86
Wamregps.dll7.0.6001.2233110,75216-Dec-200804:32x86
IIS 7.0, ia64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Modrqflt.dll7.0.6001.2233196.25616-Dec-200804:36IA-64
Admwprox.dll7.0.6001.22331119,80816-Dec-200804:31IA-64
Ahadmin.dll7.0.6001.2233182.43216-Dec-200804:31IA-64
Appcmd.exe7.0.6001.22331404,99216-Dec-200803:03IA-64
Appcmd.xmlNo aplicable3,65418-Dec-200721:00No aplicable
Applicationhost.configNo aplicable7,98918-Dec-200721:00No aplicable
Appobj.dll7.0.6001.22331727,55216-Dec-200804:31IA-64
Aspnetca.exe7.0.6001.22331432.12816-Dec-200803:04IA-64
Aspnet_schema.xmlNo aplicable38,78618-Dec-200721:01No aplicable
Fx_schema.xmlNo aplicable26,97118-Dec-200721:01No aplicable
Iismig.dll7.0.6001.22331452,09616-Dec-200804:39IA-64
Iisreg.dll7.0.6001.22331143,87216-Dec-200804:34IA-64
Iisres.dll7.0.6001.22331193,02416-Dec-200803:03IA-64
Iisreset.exe7.0.6001.2233134,81616-Dec-200803:03IA-64
Iisrstap.dll7.0.6001.2233118.94416-Dec-200804:34IA-64
Iisrstas.exe7.0.6001.2233178,33616-Dec-200803:03IA-64
Iisrtl.dll7.0.6001.22331393.21616-Dec-200804:34IA-64
Iissetup.exe7.0.6001.22331543,23216-Dec-200803:04IA-64
Iissyspr.dll7.0.6001.22331134,65616-Dec-200804:34IA-64
Iisutil.dll7.0.6001.22331513,02416-Dec-200804:35IA-64
Iis_schema.xmlNo aplicable77,83015-Dec-200823:21No aplicable
Nativerd.dll7.0.6001.22331899,58416-Dec-200804:37IA-64
Redirection.configNo aplicable49018-Dec-200721:01No aplicable
Rsca.dll7.0.6001.2233174,24016-Dec-200804:39IA-64
Rscaext.dll6.0.6001.22331111,61616-Dec-200804:39IA-64
Rscaext.xmlNo aplicable8,36318-Dec-200721:01No aplicable
W3ctrlps.dll7.0.6001.2233122.52816-Dec-200804:40IA-64
Wamregps.dll7.0.6001.2233128.16016-Dec-200804:40IA-64
Modrqflt.dll7.0.6001.2233137,88816-Dec-200804:29x86
Admwprox.dll7.0.6001.2233151,71216-Dec-200804:26x86
Ahadmin.dll7.0.6001.2233127.13616-Dec-200804:26x86
Appcmd.exe7.0.6001.22331154,11216-Dec-200802:42x86
Appcmd.xmlNo aplicable3,65418-Dec-200721:00No aplicable
Appobj.dll7.0.6001.22331311,80816-Dec-200804:26x86
Aspnetca.exe7.0.6001.22331182,78416-Dec-200802:42x86
Iismig.dll7.0.6001.22331209,40816-Dec-200804:32x86
Iisreg.dll7.0.6001.2233189,08816-Dec-200804:27x86
Iisres.dll7.0.6001.22331193,02416-Dec-200802:42x86
Iisreset.exe7.0.6001.2233114.84816-Dec-200802:42x86
Iisrstap.dll7.0.6001.223318.19216-Dec-200804:27x86
Iisrtl.dll7.0.6001.22331153,60016-Dec-200804:27x86
Iissetup.exe7.0.6001.22331228,86416-Dec-200802:43x86
Iissyspr.dll7.0.6001.2233159,39216-Dec-200804:27x86
Iisutil.dll7.0.6001.22331202,75216-Dec-200804:27x86
Nativerd.dll7.0.6001.22331331,26416-Dec-200804:30x86
Rsca.dll7.0.6001.2233126.62416-Dec-200804:31x86
Rscaext.dll6.0.6001.2233138,91216-Dec-200804:31x86
W3ctrlps.dll7.0.6001.223319,21616-Dec-200804:32x86
Wamregps.dll7.0.6001.2233110,75216-Dec-200804:32x86

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Referencias

La característica que presenta esta revisión se presentó en la revisión que se describe en artículo de Microsoft Knowledge Base 957508. Instalación de la revisión que se describe en este artículo permite la característica de que el artículo 957508 describe. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

957508 hay disponible una actualización que proporciona características mejoradas para el módulo Filtro de solicitudes en IIS 7.0

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Para obtener más información acerca de cómo utilizar estas características mejoradas, visite el siguiente sitio Web de Microsoft:

Para obtener más información acerca de cómo utilizar el filtrado de solicitudes, visite el siguiente sitio Web de Microsoft:
Propiedades

Id. de artículo: 960728 - Última revisión: 13 ene. 2017 - Revisión: 1

Comentarios