MS11-051: Luka w zabezpieczeniach rejestracji w sieci Web usług certyfikatów w usłudze Active Directory umożliwia podniesienie uprawnień: 14 czerwca 2011

WPROWADZENIE

Firma Microsoft wydała biuletyn zabezpieczeń MS11-051. Aby wyświetlić pełny biuletyn zabezpieczeń, odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:

Jak uzyskać pomoc i obsługę techniczną związaną z tą aktualizacją zabezpieczeń

Użytkownicy domowi mogą nieodpłatnie uzyskać pomoc techniczną, korzystając z numeru telefonu 1-866-PCSAFETY w Stanach Zjednoczonych i Kanadzie lub kontaktując się z lokalnym oddziałem firmy Microsoft. Aby uzyskać więcej informacji dotyczących sposobu kontaktowania się z lokalnym oddziałem firmy Microsoft w sprawie pomocy technicznej dotyczącej problemów z aktualizacjami zabezpieczeń, odwiedź witrynę międzynarodowej pomocy technicznej firmy Microsoft w sieci Web: Klienci w Ameryce Północnej mogą również uzyskać natychmiastowy dostęp do nieograniczonej nieodpłatnej pomocy świadczonej przy użyciu poczty e-mail lub w trybie rozmowy (czatu), odwiedzając następującą witrynę firmy Microsoft w sieci Web: Przedsiębiorstwa mogą uzyskać pomoc techniczną dotyczącą aktualizacji zabezpieczeń za pomocą danych kontaktowych pomocy technicznej, z których zwykle korzystają.

Więcej informacji

Znane problemy dotyczące tej aktualizacji zabezpieczeńPo zainstalowaniu tej aktualizacji zabezpieczeń mogą wystąpić następujące problemy:


 • Znaki dwubajtowe (DBCS) nazwy certyfikatu nie są poprawnie wyświetlane na stronie sieci Web „Wyświetlanie stanu oczekującego żądania certyfikatu” w witrynie rejestracji urzędu certyfikacji.

  Aby rozwiązać ten problem:
  • W systemie Windows Server 2008 R2 zainstaluj poprawkę 2637070. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
   2637070
   Znaki DBCS nazwy certyfikatu nie są poprawnie wyświetlane po zainstalowaniu w systemie Windows Server 2008 R2 aktualizacji KB 2518295 (strona może być w języku angielskim)
  • W systemach Windows Server 2003 i Windows Server 2008 należy edytować plik certckpn.asp. Plik certckpn.asp znajduje się w następującym folderze:
   %systemroot%\System32\certsrv\<folder_dla_odpowiedniego_języka>\
   • Zmień następującą pozycję:
    sFieldFriendlyType = Server.HTMLEncode(Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'"))
    Na następującą:
    sFieldFriendlyType = Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'")
   • Zmień następującą pozycję:
    <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></Span>
    Na następującą:
    <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></Span>
   • Zmień następującą pozycję:
    <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></A>
    Na następującą:
    <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></A>
 • Przy próbie zażądania certyfikatu może zostać zwrócony komunikat o błędzie podobny do następującego:
  Wystąpił błąd na serwerze podczas przetwarzania adresu URL. Skontaktuj się z administratorem systemu.


  Ten problem występuje po przesłaniu żądania za pomocą stron ASP rejestrowania w sieci Web, gdy są spełnione następujące warunki:

  • W szablonie ustawiono wartość „Zgoda menedżera certyfikatów urzędu certyfikacji”.
  • W programie IIS dla wartości Włącz buforowanie ustawiono pozycję Fałsz.
  • Rola rejestrowanie w sieci Web jest włączona.
  Aby rozwiązać ten problem, należy edytować plik certrspn.asp. Plik certrspn.asp znajduje się w następującym folderze:  %systemroot%\System32\certsrv\<folder_dla_odpowiedniego_języka>\
  Wprowadź poniższe zmiany za pomocą edytora tekstu i zapisz plik certrspn.asp:


  • Zmień następującą pozycję:
   <!-- Aktualizacja zabezpieczeń systemu Windows KB2518295 zastąpiła niektóre pliki ASP rejestracji w sieci Web urzędu certyfikacji -- >
   Na następującą:
   <%’Aktualizacja zabezpieczeń systemu Windows KB2518295 zastąpiła niektóre pliki ASP rejestracji w sieci Web urzędu certyfikacji %>
  • Zmień następującą pozycję:
   <!-- Aby uzyskać informacje o lokalizacji kopii zapasowej poprzednich plików ASP, zobacz http://www.support.microsoft.com/kb/2518295 -->
   Na następującą:
   <%’ Aby uzyskać informacje o lokalizacji kopii zapasowej poprzednich plików ASP, zobacz http://www.support.microsoft.com/kb/2518295 %>
 • Istnieje znany problem dotyczący klientów, którzy korzystają z niestandardowych stron ASP rejestrowania w sieci Web. W przypadku włączenia roli urzędu certyfikacji w systemie Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 w folderze serwera certyfikatów (w lokalizacji %windir%\system32\Certsrv) umieszczane są przykładowe strony ASP rejestrowania w sieci Web. Klienci mogli zmienić te strony, dostosowując je do swoich potrzeb.

  Aktualizacja zabezpieczeń opisana w biuletynie MS11-051 eliminuje lukę w zabezpieczeniach umożliwiającą ataki sieciowe oparte na skryptach międzywitrynowych za pomocą tych stron. W wyniku zainstalowania tej aktualizacji zabezpieczeń istniejące strony ASP zostaną zamienione na bezpieczne strony.

  W celu uniknięcia potencjalnej utraty danych firm Microsoft zaleca klientom utworzenie kopii zapasowej dostosowanych stron ASP przed zainstalowaniem aktualizacji zabezpieczeń. Po zainstalowaniu aktualizacji zabezpieczeń klienci powinni zastosować swoje dostosowania do bezpiecznych stron ASP.

  Ostrzeżenie: Przypadkowe usunięcie poprawki eliminującej lukę w zabezpieczeniach może narazić system na ataki oparte na skryptach międzywitrynowych. Firma Microsoft nie gwarantuje bezpieczeństwa danego systemu w przypadku wprowadzenia zmian w tych stronach.

  Jeśli przed zainstalowaniem aktualizacji zabezpieczeń klient nie utworzy kopii zapasowej dostosowanych stron samodzielnie, oprogramowanie instalacyjne usługi Windows Update automatycznie utworzy kopię zapasową oryginalnych stron. Lokalizacje tych kopii zapasowych są różne w przypadku poszczególnych platform, architektur i poziomów dodatków Service Pack. Dokładne lokalizacje można znaleźć w tabeli poniżej.

  Ostrzeżenie Niepoprawne zmienienie lub usunięcie plików w którymkolwiek z tych katalogów może przyczynić się do poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów wynikłych ze zmian lub usunięć plików w tych obszarach systemu operacyjnego.
  ProduktLokalizacja kopii zapasowej dostosowanych stron rejestrowania w sieci Web
  Windows Server 2008 R2%windir%/winsxs/architektura_microsoft-windows-webenroll.resources_31bf3856ad364e35_wersja_wersja_językowa_skrót

  Gdzie:
  • architektura to architektura x86 lub amd64.
  • wersja to 6.1.7600.16385 w przypadku pierwotnie wydanej wersji systemu Windows Server 2008 R2 lub 6.1.7601.17514 w przypadku systemu Windows Server 2008 R2 z dodatkiem SP1.
  • wersja_językowa zależy od języka. Na przykład wersja polska to pl-pl, wersja angielska to en-us, a wersja niemiecka to de-de.
  • skrót to 48-bitowy skrót zależny od platformy, architektury, dodatku Service Pack i języka.
  Windows Server 2008%windir%/winsxs/architektura_microsoft-windows-webenroll.resources_31bf3856ad364e35_wersja_wersja_językowa_skrót

  Gdzie:
  • architektura to architektura x86 lub amd64.
  • wersja to 6.0.6001.18000 w systemie z zainstalowanym dodatkiem SP1 lub 6.0.6002.18005 w systemie z zainstalowanym dodatkiem SP2.
  • wersja_językowa zależy od języka. Na przykład wersja polska to pl-pl, wersja angielska to en-us, a wersja niemiecka to de-de.
  • skrót to 48-bitowy skrót zależny od platformy, architektury, dodatku Service Pack i języka.
  Windows Server 2003Folder ukryty %windir%/$NtUninstallKB2518295$
  Windows Server 2000Folder ukryty %windir%/$NtUninstallKB2518295$
  Windows NT4 ServerFolder ukryty %windir%/$NtUninstallKB2518295$

INFORMACJE O PLIKACH


Aby uzyskać listę plików udostępnianych w tych pakietach, kliknij poniższe łącze:


Właściwości

Identyfikator artykułu: 2518295 — ostatni przegląd: 22.12.2011 — zmiana: 1

Opinia