MS02-053: Forespørsel til Smart HTML-tolken kan legge beslag på prosessorressurser for webserver

Kundestøtte for Windows XP er avsluttet

Microsoft avsluttet kundestøtte for Windows XP den 8. april 2014. Denne endringen har påvirket programvareoppdateringene og sikkerhetsalternativene dine. Finn ut hvordan dette påvirker deg og hvordan du forblir beskyttet.

Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.
Symptom
Smart HTML-tolken (Shtml.dll) er en del av FrontPage-servertillegg og gir støtte for webskjemaer og annet FrontPage-basert dynamisk innhold. Tolken inneholder en feil som forekommer ved behandling av en forespørsel om en bestemt type webfil hvis forespørselen inkluderer visse andre egenskaper. En slik forespørsel kan føre til at tolken bruker det meste av eller all prosessortilgjengeligheten til webtjenesten startes på nytt. En angriper kan utnytte dette sikkerhetsproblemet for å utføre et tjenestenektangrep (denial of service) mot en påvirket webserver.

Begrensende faktorer

  • Sikkerhetsproblemet gir ikke mulighet til å utføre andre handlinger på serveren. Det lar ikke en angriper legge til, slette eller endre data på serveren.
  • IIS Lockdown-verktøyet, hvis det brukes til å konfigurere en statisk webserver, deaktiverer Smart HTML-tolken. Servere der dette verktøyet er brukt, påvirkes ikke av sikkerhetsproblemet.
  • Som standard installeres FrontPage-servertillegg på Microsoft Internet Information Server 4.0 og Microsoft Internet Information Services 5.0 og 5.1, men kan fjernes. Servere der Internet Information Server eller Internet Information Services er fjernet, påvirkes ikke av sikkerhetsproblemet.
Løsning

FrontPage 2002-servertillegg fra Microsoft

Hvis du vil ha mer informasjon om sikkerhetsoppdateringen, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
329086 FP2002: Sikkerhetsoppdatering for FrontPage 2002-servertillegg: 25.09.02
Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell:
   Versjon      Filnavn        ------------------------   10.0.4219.0  Fp5awel.dll				
Microsoft anbefaler også at du installerer oppdateringen for FrontPage 2002-servertillegg som ble lansert i januar 2002. Hvis du vil ha mer informasjon om oppdateringen, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
317296 Oversikt over oppdateringen for FrontPage 2002 Server Extension: 28.01.02
Tilbake til toppen

FrontPage 2000-servertillegg fra Microsoft

Hvis du vil ha mer informasjon om sikkerhetsoppdateringen, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
329085 FP2000: Sikkerhetsoppdatering for FrontPage 2000-servertillegg: 25.09.02
Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell:
   Versjon      Filnavn        ------------------------   4.0.2.6426   Fp4awel.dll				
Tilbake til toppen

Windows XP

En støttet feilrettingsfil er nå tilgjengelig fra Microsoft, men den er bare ment å løse problemet som er beskrevet i denne artikkelen. Bruk den bare på datamaskiner du mener er utsatt for angrep. Vurder datamaskinens fysiske tilgjengelighet, nettverks- og Internett-tilkobling samt andre faktorer for å finne ut hvor stor risikoen er for datamaskinen. Se den tilknyttede sikkerhetsbulletinen fra Microsoft for å få hjelp til å fastslå risikograden. Reparasjonen kan utsettes for ytterligere testing. Hvis datamaskinen er tilstrekkelig utsatt, anbefaler Microsoft at du installerer denne reparasjonen nå. Ellers venter du på neste Windows XP som inneholder denne reparasjonen.

Hvis du vil løse dette problemet øyeblikkelig, laster du ned reparasjonen ved å følge instruksjonene senere i denne artikkelen, eller du kontakter Microsoft Kundestøtte for å skaffe reparasjonen. Hvis du vil ha en fullstendig liste over telefonnumre for Microsoft Kundestøtte og informasjon om støttekostnader, besøker du følgende webområde for Microsoft:Obs!  I noen tilfeller kan det hende at avgifter som vanligvis påløper for kundestøttesamtaler, faller bort hvis en Microsoft-tekniker avgjør at en bestemt oppdatering løser problemet. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av den gjeldende oppdateringen.

Nedlastingsinformasjon

Følgende filer kan lastes ned fra Microsoft Download Center:
Utgivelsesdato: 25.09.02

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Installasjonsalternativer

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen. Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • -?: Viser listen over kommandolinjebrytere for installasjonsprogrammet.
  • -u: Uovervåket modus.
  • -f: Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • -n: Ikke sikkerhetskopier filer som skal fjernes.
  • -o: Skriv over OEM-filer uten å spørre.
  • -z: Ikke start maskinen på nytt når installasjonen er fullført.
  • -q: Stille modus (ingen brukermedvirkning).
  • -l: List opp installerte hurtigreparasjoner.
  • -x Pakker ut filene uten å kjøre installasjonsprogrammet.
Denne kommandolinjen installerer for eksempel oppdateringen uten noen brukermedvirkning, og datamaskinen må ikke startes på nytt etterpå:
Q324096_wxp_sp1_x86_enu -u -q -z
Advarsel! : Datamaskinen er sårbar inntil du starter den på nytt.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.
   Dato         Tid    Versjon        Størrelse   Filnavn   ------------------------------------------------------   22.06.02 10:37PM  10.0.4219.0  1 382 984  Fp5awel.dll				
Obs!  Denne oppdateringen kan, som følge av filavhengigheter, inkludere flere filer.

Tilbake til toppen

Informasjon om oppdateringspakke for Windows 2000

Windows 2000-versjonen av denne sikkerhetsoppdateringen er inkludert i Windows 2000 Service Pack 4 (SP4) for systemer som kjører FrontPage 2000 Server Extensions. Hvis du bruker en annen versjon av FrontPage-servertillegg, må du installere oppdateringen for MS02-053 separat.For å løse dette problemet anskaffer du den siste oppdateringspakken for Microsoft Windows 2000. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
260910 Slik får du tak i den seneste oppdateringspakken for Windows 2000

Informasjon om hurtigreparasjon for Windows 2000

En støttet feilrettingsfil er nå tilgjengelig fra Microsoft, men den er bare ment å løse problemet som er beskrevet i denne artikkelen. Bruk den bare på datamaskiner du mener er utsatt for angrep. Vurder datamaskinens fysiske tilgjengelighet, nettverks- og Internett-tilkobling samt andre faktorer for å finne ut hvor stor risikoen er for datamaskinen. Se den tilknyttede sikkerhetsbulletinen fra Microsoft for å få hjelp til å fastslå risikograden. Reparasjonen kan utsettes for ytterligere testing. Hvis datamaskinen er tilstrekkelig utsatt, anbefaler Microsoft at du installerer denne reparasjonen nå. Ellers venter du på neste Windows 2000 som inneholder denne reparasjonen.

Hvis du vil løse dette problemet øyeblikkelig, laster du ned reparasjonen ved å følge instruksjonene senere i denne artikkelen, eller du kontakter Microsoft Kundestøtte for å skaffe reparasjonen. Hvis du vil ha en fullstendig liste over telefonnumre for Microsoft Kundestøtte og informasjon om støttekostnader, besøker du følgende webområde for Microsoft:Obs!  I noen tilfeller kan det hende at avgifter som vanligvis påløper for kundestøttesamtaler, faller bort hvis en Microsoft-tekniker avgjør at en bestemt oppdatering løser problemet. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av den gjeldende oppdateringen.

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center:
Utgivelsesdato: 25.09.02

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Installasjonsalternativer

Du må starte datamaskinen på nytt etter at du har brukt denne oppdateringen. Denne oppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
  • -?: Viser listen over kommandolinjebrytere for installasjonsprogrammet.
  • -u: Uovervåket modus.
  • -f: Tving andre programmer til å avslutte når datamaskinen avsluttes.
  • -n: Ikke sikkerhetskopier filer som skal fjernes.
  • -o: Skriv over OEM-filer uten å spørre.
  • -z: Ikke start maskinen på nytt når installasjonen er fullført.
  • -q: Stille modus (ingen brukermedvirkning).
  • -l: List opp installerte hurtigreparasjoner.
  • -x Pakker ut filene uten å kjøre installasjonsprogrammet.
Denne kommandolinjen installerer for eksempel oppdateringen uten noen brukermedvirkning, og datamaskinen må ikke startes på nytt etterpå:
q318138_w2k_sp3_x86_en /q /m /z
Advarsel! : Datamaskinen er sårbar inntil du starter den på nytt.

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene (eller senere) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du Tidssone-kategorien i verktøyet Dato og klokkeslett i Kontrollpanel.
Dato     Tid      Versjon      Størrelse  Filnavn og bane------------------------------------------------------------------------27.04.02  12:34PM  4.0.2.6426   872 557   ???\fp4awel.dll					
Obs!  Denne oppdateringen kan, som følge av filavhengigheter, inkludere flere filer. Denne oppdateringen krever Windows 2000 Service Pack 2 (SP2) eller Service Pack 1 (SP1).

Tilbake til toppen
Status
Microsoft har bekreftet at dette problemet kan forårsake et visst sikkerhetsproblem i Microsoft-produktene som er oppført i begynnelsen av denne artikkelen. Denne feilen ble først rettet opp i Microsoft Windows 2000 Service Pack 4.
Mer informasjon
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, går du til følgende Microsoft-webområde:
sikkerhetsoppdatering
Egenskaper

Artikkel-ID: 324096 – Forrige gjennomgang: 02/24/2014 06:11:24 – Revisjon: 4.2

Microsoft Windows 2000 Service Pack 1, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Service Pack 1, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft FrontPage 2002 Server Extensions, Microsoft FrontPage 2000 Server Extensions, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional

  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096
Tilbakemelding