MS00-057: Revisión disponible para el error de creación de nombres canónicos

Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Síntomas
Hay disponible una revisión de seguridad para resolver un error de creación de nombres canónicos que puede permitir que usuarios malintencionados obtengan permisos adicionales para determinados tipos de archivos alojados en un servidor Web.

Para que esta vulnerabilidad pueda aprovecharse, deben cumplirse varios factores:
  • Sólo afecta a tipos de archivos que se implementan a través de extensiones ISAPI. No afecta a páginas Web estáticas ni a tipos de archivo que no son Web, como .exe, .doc o .bat.
  • Sólo afecta a los servidores que exponen una estructura de carpetas Web que refleja la estructura física de carpetas del servidor. No afecta a los directorios virtuales.
  • No permite la selección de permisos arbitrarios, sólo los permisos presentes en una carpeta antecesora.
  • No proporciona la capacidad de enumerar el servidor y buscar archivos que puedan verse afectados por la vulnerabilidad.
Además de todo esto, esta revisión de la seguridad también corrige la vulnerabilidad descrita en el siguiente artículo de Microsoft Knowledge Base:
276489 Revisión disponible para el problema de seguridad Recorrido de las carpetas del servidor Web

Usuarios de Microsoft Exchange 2000 Server y usuarios de Microsoft SharePoint Portal Server 2001

Tanto Exchange 2000 como SharePoint Portal Server 2001 tienen problemas con una versión anterior de esta revisión. Hay disponible una nueva actualización de la revisión de seguridad para estos productos en la siguiente página Web de Microsoft:
Solución
Para resolver este problema, obtenga el Service Pack más reciente para Windows 2000. Si desea obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente para Windows 2000

Servicios de Internet Information Server 5.0

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Para obtener información adicional acerca de cómo descargar archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus con el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Fecha       Hora    Versión        Tamaño   Nombre de archivo   -------------------------------------------------------------   09-08-2000  1:02pm  5.0.2195.2103  357.136  W3svc.dll				

Internet Information Server 4.0

Los archivos siguientes pueden descargarse del Centro de descarga de Microsoft:

NOTA: un administrador necesita los archivos de símbolos de depuración para la depuración en modo de núcleo y en modo de usuario, dado que proporcionan un método para resolver variables globales y nombres de funciones en el archivo cargado. Los archivos de símbolos se indican con una "s" en el nombre de archivo (por ejemplo, Prmcan4is.exe).

Inglés (EE.UU.)

Alemán

Japonés

Coreano

Chino simplificado

Chino tradicional

Para obtener información adicional acerca de cómo descargar archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus con el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Fecha       Hora    Tamaño   Nombre de archivo  Plataforma   ----------------------------------------------------------   03/08/2000  05:06p  330.080  Asp.dll            Intel   03/08/2000  05:04p  185.792  Infocomm.dll       Intel   03/08/2000  05:05p   38.256  Ssinc.dll          Intel   03/08/2000  05:05p   25.360  Sspifilt.dll       Intel   03/08/2000  05:05p  228.496  W3svc.dll          Intel   03/08/2000  05:08p  551.696  Asp.dll            Alpha   03/08/2000  05:06p  304.912  Infocomm.dll       Alpha   03/08/2000  05:07p   60.176  Ssinc.dll          Alpha   03/08/2000  05:07p   39.696  Sspifilt.dll       Alpha   03/08/2000  05:07p  384.272  W3svc.dll          Alpha				

Microsoft Windows NT Server versión 4.0, Terminal Server Edition

Para solucionar este problema, obtenga el paquete de continuación de seguridad (SRP, Security Rollup Package) de Windows NT Server 4.0, Terminal Server Edition . Para obtener información adicional acerca del SRP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
317636 Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package
Estado
Microsoft ha confirmado que éste es un problema de Servicios de Internet Information Server 5.0 y de Internet Information Server 4.0.
Más información
Encontrará información adicional acerca de este problema en el siguiente sitio Web de Microsoft: Consulte las preguntas más frecuentes acerca de esta vulnerabilidad en el siguiente sitio Web de Microsoft:
revisión_seguridad
Propiedades

Id. de artículo: 269862 - Última revisión: 01/11/2015 03:47:13 - Revisión: 2.1

Microsoft Internet Information Server 4.0, Servicios de Microsoft Internet Information Server 5.0

  • kbnosurvey kbarchive kbbug kbfix kbgraphxlinkcritical KB269862
Comentarios