MS02-010: Az ISAPI-szűrő nem ellenőrzött puffere veszélyeztetheti a Commerce Server rendszer működését

A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
A jelenség
A Commerce Server alapú webhelyek működése hozzáférés-megsértés miatt leállhat. A programfolyamat hibáját a Drwtsn32 alkalmazás jelenti és naplózza.
Oka
A Commerce Server 2000 rendszer alapértelmezés szerint ISAPI-szűrővel rendelkező dinamikus csatolású függvénytárat (DLL) telepít, amely segítségével a kiszolgáló nagyobb hatékonysággal válaszolhat a kiszolgálón történő eseményekre. Ez a szűrő (AuthFilter) több hitelesítési metódust is támogat, de a Commerce Server 2000 úgy is beállítható, hogy más hitelesítési metódusokat alkalmazzon.

A program biztonsági rést tartalmaz, mert az AuthFilter szűrő kódjának egyik, a hitelesítési kérelmek bizonyos típusait kezelő részében nem ellenőrzött puffer található. Az esetleges támadók a puffer túlcsordulását okozó hitelesítési adatok megadásával leállíthatják a Commerce Server rendszer működését, vagy esetleg kódot futtathatnak a Commerce Server folyamat biztonsági környezetében. A folyamat futtatása a helyi rendszer jogosultságaival történik, így a biztonsági rést kihasználva a támadó teljes mértékben átveheti a kiszolgáló irányítását.
A megoldás
A frissítés külön javításként vagy a Commerce Server 2000 Service Pack 3 (SP3) csomag részeként is letölthető. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
297216 Információ: A Commerce Server 2000 program legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Önálló frissítés

A következő fájlok letölthetők a Microsoft letöltőközpontból:
Kiadás dátuma: 2002. február 21.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

A frissítés angol nyelvű verziója a következő táblázatban található fájlattribútumokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Idő    Verziószám  Méret    Fájlnév       Rendszer   ---------------------------------------------------------------   2002.01.29.  16:30  4.0.3032.0  102 672  Siteauth.dll  i386				
Megjegyzés: A fájlfüggőségek következtében a frissítés további fájlokat is tartalmazhat.

Fontos! A frissítés csak akkor telepíthető, ha a számítógépre telepítve van a Microsoft Commerce Server 2000 Service Pack 2 (SP2) szervizcsomag. További információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
297216 Információ: A Commerce Server 2000 program legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Állapot
A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Commerce Server 2000 programban. A problémát először a Commerce Server 2000 Service Pack 3 (SP3) szervizcsomag javította.
További információ
A biztonsági résről a Microsoft webhelye nyújt további felvilágosítást:
security_patch kbCommServ2000preSP3fix
Tulajdonságok

Cikkazonosító: 317615 - Utolsó ellenőrzés: 01/29/2014 07:42:01 - Verziószám: 3.2

  • Microsoft Commerce Server 2000 Standard Edition
  • Microsoft Commerce Server 2000 Service Pack 1
  • Microsoft Commerce Server 2000 Service Pack 2
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbcommserv2000sp3fix kbsecurity kbcommserv2000presp3fix kbsecbulletin kbproductlink KB317615
Visszajelzés