現在オフラインです。再接続するためにインターネットの接続を待っています

FIX ISA 2006 ブロックの web サイトの要求のキャリッジ リターン (CR) や改行 (LF) を含む Url を公開

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:2622172
重要です この資料でには、セキュリティ設定を低くする方法や、コンピューターのセキュリティ機能を無効にする方法について説明する情報が含まれます。特定の問題を回避するには、これらの変更を確認することができます。これらの変更を行う前に、特定の環境では、この手順の実装に関連付けられているリスクを評価することをお勧めします。この手順を実装する場合、コンピューターを保護するために、適切な追加手順がかかります。
現象
次のシナリオを検討してください。
  • Web ページを Microsoft インターネット セキュリティとアクセラレータ (ISA) Server 2006 を公開するには、フォーム ベース認証を使用しています。
  • この web ページは、エスケープされた改行 (「%0 D」) または URL に改行文字 ("%0a") を含む URL を使用してアクセスします。

このシナリオでは、ISA Server 2006 は、URL へのアクセスをブロックします。さらに、ISA の Web Proxy ログ 12232、拒否された要求の結果コードが表示されます。

メモ その他の問題のためこの結果コードも記録でき、URL をログに記録されますを確認する必要がありますに注意してください。 %0a または %0 d これは、発生した問題かどうかを確認する文字を指定します。
原因
この問題は、フォーム ベース認証フィルターは、既知のクロスサイト スクリプティングと同類の攻撃をブロックするために発生します。この例では、フィルターの応答は、キャリッジ リターンまたはライン フィードにも攻撃を分割がブロックされています。ただし、有効な Url はこれらの文字も含めることができます。たとえば、IBM Rational Clearquest がキャリッジ リターンまたはライン フィードでその Url を使用すると呼ばれます。
解決方法
この問題を解決するには、以下のサポート技術情報の資料に記載されている、ISA Server 2006 の修正プログラム ロールアップ パッケージをインストールします。
2616326 ISA Server 2006 の修正プログラム パッケージの説明: 2011年 9 月
詳細
警告 この手順は、コンピューターまたはネットワークの脆弱性を悪意のあるユーザーやウイルスなどの悪意のあるソフトウェアによる攻撃をことがあります。この手順はお勧めしませんが、独自の裁量でこの手順を実装するにはこの情報が提供されます。ご自身の責任でこの手順を使用します。

次のスクリプトは、ISA Server 2006 Service Pack 1 での既定の動作を無効にされ、キャリッジ リターン (CR) や改行 (LF) の URL アドレスが含まれている Url を許可するように ISA Server を有効にするされます。このスクリプトを使用するには、次の手順を実行します。

重要ですメモ ISA Server 2006 SP1 の既定の動作 (このようなアプリケーションに対応するために) を無効にすることも可能性があります ISA サーバーがフォーム ベースの認証を使用する場合は、「サイト間でリクエスト フォージェリ」攻撃に特別な細工が Url を許可するように、ISA Server が可能です。
  1. メモ帳を起動します。
  2. 次のスクリプトは、新しい文書に貼り付けます。
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "AllowNewlineInURL"Const SE_VPS_VALUE = true Sub SetValue()     ' Create the root object.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")     'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object     ' Get references to the array object    ' and to the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets     On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )     If Err.Number <> 0 Then        Err.Clear         ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )       CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name     Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If     if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then         Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE         If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError             If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End If End Sub Sub CheckError()     If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End If End Sub SetValue
  3. で、 ファイル メニューをクリックして として保存します。をクリックし、ファイルとして保存 AllowNewlineInURL.vbs.
  4. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    cscript AllowNewlineInURL.vbs
既定の動作では、ISA Server 2006 Service Pack [フォーム ベース認証を使用すると、クロスサイト リクエスト偽造攻撃が含まれている可能性がある Url を禁止するのには 1 に戻るには、次の手順を実行します。
  1. メモ帳を起動し、AllowNewlineInURL.vbs スクリプトを開きます。
  2. スクリプトに次のコード行を見つけます。
    Const SE_VPS_VALUE = true
  3. コードは次の行を変更します。
    Const SE_VPS_VALUE = false
  4. で、 ファイル メニューをクリックして 保存.
  5. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    cscript AllowNewlineInURL.vbs
状況
Microsoft は、これは「対象」に記載されているマイクロソフト製品の問題であること確認しています。
関連情報
ソフトウェアの更新の用語の詳細については、「サポート技術情報」資料を参照するには、次の資料番号をクリックしてください。
824684 マイクロソフトのソフトウェア更新プログラムを記述するために使用される一般的な用語の説明
ISA2010

警告: この記事は自動翻訳されています

プロパティ

文書番号:2622172 - 最終更新日: 10/06/2011 21:23:00 - リビジョン: 2.0

  • kbfix kbqfe kbhotfixrollup kbexpertiseadvanced kbhotfixserver kbmt kbsurveynew KB2622172 KbMtja
フィードバック
tml>t/JavaScript" async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("