Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

CORRIGER : Blocs ISA 2006 publiées les demandes de site Web pour les URL contenant des sauts de ligne (LF) ou des retours chariot (CR)

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 2622172
Important Cet article contient des informations qui vous montre comment aider les paramètres de sécurité faibles ou la désactivation des fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d'apporter ces modifications, nous vous recommandons d'évaluer les risques associés à la mise en oeuvre de cette procédure dans votre environnement particulier. Si vous implémentez cette procédure, prendre toutes les mesures appropriées pour protéger l'ordinateur.
Symptômes
Considérez le scénario suivant :
  • Vous publiez une page Web via Microsoft Internet Security and Acceleration (ISA) Server 2006 en utilisant l'authentification par formulaires.
  • Pour accéder à cette page Web en utilisant une URL qui contient un retour de chariot avec séquence d'échappement ("%0D") ou un saut de ligne ("%0A") dans l'URL.

Dans ce scénario, ISA Server 2006 bloque l'accès à l'URL. En outre, les journaux du Proxy Web ISA affichent un code de résultat de 12232 pour la demande refusée.

Remarque N'oubliez pas que ce code de résultat peut également être enregistré en raison d'autres problèmes et que l'URL est consigné devrait être révisés pour %0A ou d % 0 caractères pour déterminer si c'est le problème que vous avez rencontré.
Cause
Ce problème se produit car le filtre d'authentification Forms bloquant connus cross-site scripting et les attaques connexes. Dans ce cas, le filtre bloque les attaques qui incluent des retours chariot ou des sauts de ligne de fractionnement de réponse. Toutefois, des URL valides peuvent également inclure ces caractères. Par exemple, l'application IBM Rational Clearquest est connue pour utiliser des retours chariot ou des sauts de ligne dans son URL.
Résolution
Pour résoudre ce problème, installez le package correctif cumulatif de ISA Server 2006 est décrite dans l'article suivant de la Base de connaissances Microsoft :
2616326 Description du package de correctifs ISA Server 2006 : septembre 2011
Plus d'informations
Avertissement Cette procédure peut rendre un ordinateur ou un réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que les virus. Nous ne recommandons pas cette procédure, mais que vous fournissez ces informations afin que vous pouvez implémenter cette procédure à votre convenance. Utilisez cette procédure à vos propres risques.

Le script suivant va désactiver le comportement par défaut dans le Service Pack 1 de ISA Server 2006 et activer le serveur ISA autoriser les URL qui contiennent des retours chariot (CR) ou des sauts de ligne (LF) dans l'adresse URL. Pour utiliser ce script, procédez comme suit.

ImportantRemarque La désactivation de ce comportement par défaut de ISA Server 2006 SP1 (afin de tenir compte de telles applications) peut permettre à ISA Server pour permettre les URL ont été spécialement pour les attaques « cross-site contrefaçon de requête » lorsque ISA Server utilise l'authentification Form.
  1. Démarrez le bloc-notes.
  2. Collez le script suivant dans un nouveau document.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "AllowNewlineInURL"Const SE_VPS_VALUE = true Sub SetValue()     ' Create the root object.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")     'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object     ' Get references to the array object    ' and to the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets     On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )     If Err.Number <> 0 Then        Err.Clear         ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )       CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name     Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If     if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then         Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE         If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError             If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End If End Sub Sub CheckError()     If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End If End Sub SetValue
  3. Sur le Fichier menu, cliquez sur Enregistrer en tant que, puis enregistrez le fichier en tant que AllowNewlineInURL.vbs.
  4. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    cscript AllowNewlineInURL.vbs
Pour rétablir le comportement par défaut dans ISA Server 2006 Service Pack 1 pour bloquer les URL peuvent contenir les attaques de type cross-site request contrefaçon lorsque vous utilisez l'authentification Form, procédez comme suit :
  1. Démarrez le bloc-notes et ouvrez le script AllowNewlineInURL.vbs.
  2. Recherchez la ligne de code suivante dans le script.
    Const SE_VPS_VALUE = true
  3. Modifiez le code pour la ligne suivante :
    Const SE_VPS_VALUE = false
  4. Sur le Fichier menu, cliquez sur Enregistrer.
  5. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    cscript AllowNewlineInURL.vbs
Statut
Microsoft a confirmé qu'il s'agit d'un problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Références
Pour plus d'informations sur la terminologie de mise à jour de logiciel, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684 de la Description de la terminologie standard utilisée pour décrire les mises à jour du logiciel Microsoft
ISA2010

Avertissement : cet article a été traduit automatiquement

Propriétés

ID d'article : 2622172 - Dernière mise à jour : 10/06/2011 21:22:00 - Révision : 2.0

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1

  • kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtfr
Commentaires