MS02-053: A SmartHTML-értelmezőhöz intézett kérelem teljesen kisajátíthatja a webkiszolgáló processzorának erőforrásait

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
A jelenség
A SmartHTML-értelmező (Shtml.dll) a FrontPage Server Extensions programcsomag része, és a webes űrlapok és az egyéb FrontPage alapú dinamikus tartalom támogatását biztosítja. Az értelmező tartalmaz egy hibát, amely akkor jelentkezik, ha adott típusú webfájlra vonatkozó kérést dolgoz fel, és a kérés rendelkezik bizonyos egyéb tulajdonságokkal is Az ilyen kérések azt okozhatják, hogy az értelmező a processzor felhasználható teljesítményének legnagyobb részét vagy egészét kihasználja a webszolgáltatás újraindításáig. A támadók a biztonsági rést kihasználva a szolgáltatás elérhetetlenné tételére irányuló támadást indíthatnak az érintett webkiszolgáló ellen.

A hibát enyhítő tényezők

  • A biztonsági rés nem teszi lehetővé ennél jelentősebb műveletek végrehajtását a kiszolgálón. Nem ad lehetőséget arra, hogy a felhasználó adatokat vehessen fel, módosíthasson vagy törölhessen a kiszolgálón.
  • Ha egy statikus webkiszolgáló konfigurálása az IIS zárolási eszköze segítségével történik, az eszköz kikapcsolja a SmartHTML-értelmezőt. Ha egy kiszolgálón ezt az eszközt használták, az védett a biztonsági réssel szemben.
  • A FrontPage Server Extensions telepítése a Microsoft Internet Information Server 4.0 és a Microsoft Internet Information Services 5.0, illetve 5.1 programmal alapértelmezés szerint megtörténik, de a FrontPage Server Extensions eltávolítható. Ha egy kiszolgálóról az IIS el lett távolítva, az nem lehet veszélyeztetett.
A megoldás

FrontPage 2002 Server Extensions a Microsofttól

További információt a biztonsági frissítésről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
329086FP2002: A FrontPage 2002 Server Extensions 2002. szeptember 25-i biztonsági frissítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A javítás angol nyelvű verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek:
   Verzió       Fájlnév   ------------------------   10.0.4219.0  Fp5awel.dll				
A Microsoft javasolja a FrontPage 2002 Server Extensions 2002. januárjában kiadott frissítésének telepítését is. További információt a biztonsági frissítésről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
317296 A FrontPage 2002 Server Extensions 2002. január 28-i biztonsági frissítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
a lap tetejére

FrontPage 2000 Server Extensions a Microsofttól

További információt a biztonsági frissítésről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
329085FP2002: A FrontPage 2000 Server Extensions 2002. szeptember 25-i biztonsági frissítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A javítás angol nyelvű verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek:
   Verzió       Fájlnév   ------------------------   4.0.2.6426   Fp4awel.dll				
a lap tetejére

Windows XP

A Microsoft közzétett egy támogatott javítást, de az csak a jelen cikkben ismertetett probléma megoldására szolgál. Csak olyan számítógépekre telepítse a javítást, amelyekről megállapítható, hogy támadás veszélyének vannak kitéve. A veszélyeztetettség megállapításához mérlegelje a számítógép fizikai elérhetőségét, hálózattal vagy az internettel való kapcsolatának lehetőségét és más tényezőket. A kockázat fokának meghatározásához olvassa el a kapcsolódó Microsoft Security Bulletin közleményt. A javítás további tesztelésen mehet keresztül. Ha a számítógép fokozott veszélynek van kitéve, a Microsoft a javítás haladéktalan telepítését javasolja. Egyébként várja meg a Windows XP következő szervizcsomagját, amely tartalmazza ezt a javítást.

A probléma azonnali megoldásához töltse le a javítást a cikkben alább található útmutatásnak megfelelően, vagy kérjen segítséget a Microsoft terméktámogatási szolgálatától a javítás beszerzése érdekében. A Microsoft terméktámogatási szolgálat telefonszámainak teljes listáját és a támogatási költségekre vonatkozó információkat a Microsoft következő webhelyén találja:Megjegyzés: Bizonyos esetekben – amennyiben a Microsoft támogatási szakembere megállapítja, hogy egy adott frissítés megoldja a szóban forgó problémát – a telefonos támogatásért felszámított díjak elengedhetők. Az olyan további kérdésekre és problémákra, amelyek nem az adott frissítésre vonatkoznak, a szokásos támogatási díjak érvényesek.

Letöltési információ

A következő fájlok letölthetők a Microsoft letöltőközpontjából:
Kiadás dátuma: 2002. szeptember 25.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési beállítások

A frissítés telepítését követően újra kell indítani a számítógépet. A telepítőprogram a következő kapcsolók használatát támogatja:
  • -?: A telepítési kapcsolók listájának megjelenítése.
  • -u: Felügyelet nélküli mód használata.
  • -f: A számítógép leállítása érdekében más programok bezárásának kényszerítése.
  • -n: A frissítés eltávolítását lehetővé tevő biztonságimásolat-fájlok létrehozásának kihagyása.
  • -o: Az OEM-fájlok automatikus felülírása.
  • -z: A számítógép újraindításának kihagyása a telepítés befejeztével.
  • -q: Csendes mód használata (nincs szükség felhasználói beavatkozásra).
  • -l: A telepített gyorsjavítások listájának megjelenítése.
  • -x A fájlok kibontása a telepítő futtatása nélkül.
Például a felhasználói beavatkozást nem igénylő, a telepítés végeztével a számítógép újraindítását mellőző telepítéshez az alábbi parancsot adja ki:
Q324096_wxp_sp1_x86_hun -u -q -z
Figyelem: A számítógép az újraindításig továbbra is ki lesz téve a támadásoknak.

Fájlinformációk

A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum          Idő       Verzió       Méret    Fájlnév   ------------------------------------------------------   2002. jún. 22. 22:37     10.0.4219.0  1382984  Fp5awel.dll      				
Megjegyzés: A fájlfüggőségek miatt a frissítés további fájlokat is tartalmazhat.

a lap tetejére

A Windows 2000 szervizcsomagjaira vonatkozó információk

A jelen biztonsági javítás Windows 2000 rendszerhez készült verziója része a Windows 2000 Service Pack 4 (SP4) szervizcsomagnak, ha a rendszeren megtalálható a FrontPage 2000 Server Extensions. Ha a FrontPage Server Extensions valamely más verzióját használja, az MS02-053 jelű értesítéshez tartozó javítást külön kell telepíteni. A probléma megoldásához szerezze be az Windows 2000 legújabb szervizcsomagját. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
260910 A legfrissebb Windows 2000 szervizcsomag beszerzése

A Windows 2000 rendszer gyorsjavításával kapcsolatos információk

A Microsoft közzétett egy támogatott javítást, de az csak a jelen cikkben ismertetett probléma megoldására szolgál. Csak olyan számítógépekre telepítse a javítást, amelyekről megállapítható, hogy támadás veszélyének vannak kitéve. A veszélyeztetettség megállapításához mérlegelje a számítógép fizikai elérhetőségét, hálózattal vagy az internettel való kapcsolatának lehetőségét és más tényezőket. A kockázat fokának meghatározásához olvassa el a kapcsolódó Microsoft Security Bulletin közleményt. A javítás további tesztelésen mehet keresztül. Ha a számítógép fokozott veszélynek van kitéve, a Microsoft a javítás haladéktalan telepítését javasolja. Egyébként várja meg a Windows 2000 következő szervizcsomagját, amely tartalmazza ezt a javítást.

A probléma azonnali megoldásához töltse le a javítást a cikkben alább található útmutatásnak megfelelően, vagy kérjen segítséget a Microsoft terméktámogatási szolgálatától a javítás beszerzése érdekében. A Microsoft terméktámogatási szolgálat telefonszámainak teljes listáját és a támogatási költségekre vonatkozó információkat a Microsoft következő webhelyén találja:Megjegyzés: Bizonyos esetekben – amennyiben a Microsoft támogatási szakembere megállapítja, hogy egy adott frissítés megoldja a szóban forgó problémát – a telefonos támogatásért felszámított díjak elengedhetők. Az olyan további kérdésekre és problémákra, amelyek nem az adott frissítésre vonatkoznak, a szokásos támogatási díjak érvényesek.

Letöltési információ

A következő fájl letölthető a Microsoft letöltőközpontból:
A kiadás dátuma: 2002. szeptember 25.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét: ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési beállítások

A frissítés telepítését követően újra kell indítani a számítógépet. A telepítőprogram a következő kapcsolók használatát támogatja:
  • -?: A telepítési kapcsolók listájának megjelenítése.
  • -u: Felügyelet nélküli mód használata.
  • -f: A számítógép leállítása érdekében más programok bezárásának kényszerítése.
  • -n: A frissítés eltávolítását lehetővé tevő biztonságimásolat-fájlok létrehozásának kihagyása.
  • -o: Az OEM-fájlok automatikus felülírása.
  • -z: A számítógép újraindításának kihagyása a telepítés befejeztével.
  • -q: Csendes mód használata (nincs szükség felhasználói beavatkozásra).
  • -l: A telepített gyorsjavítások listájának megjelenítése.
  • -x A fájlok kibontása a telepítő futtatása nélkül.
Például a felhasználói beavatkozást nem igénylő, a telepítés végeztével a számítógép újraindítását mellőző telepítéshez az alábbi parancsot adja ki:
q318138_w2k_sp3_x86_hun /q /m /z
Figyelem: A számítógép az újraindításig továbbra is ki lesz téve a támadásoknak.

Fájlinformációk

A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
Dátum          Idő     Verziószám   Méret   Fájlnév és útvonal------------------------------------------------------------------------2002. ápr. 27. 12:34   4.0.2.6426   872557  ???\fp4awel.dll					
Megjegyzés: A fájlfüggőségek miatt a frissítés további fájlokat is tartalmazhat. A frissítés telepítéséhez a Windows 2000 Service Pack 2 (SP2) vagy Service Pack 1 (SP1) szervizcsomaggal ellátott verziója szükséges.

a lap tetejére
Állapot
A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a cikk elején felsorolt Microsoft-termékekben. A probléma első javítását a Microsoft Windows 2000 Service Pack 4 szervizcsomag tartalmazza.
További információ
A biztonsági résről a Microsoft következő webhelyén talál további információt:
security_patch
Tulajdonságok

Cikkazonosító: 324096 - Utolsó ellenőrzés: 02/24/2014 03:33:02 - Verziószám: 4.3

  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows 2000 Professional SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft FrontPage 2000 kiszolgálói bővítmények
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix atdownload KB324096
Visszajelzés