Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Niesprawdzany bufor w rozszerzeniu ISAPI serwera indeksowania naraża serwer sieci Web na atak

Ten artykuł został opublikowany wcześniej pod numerem PL300972
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
UWAGA: Luka ta dotyczy również usługi indeksowania w systemie Microsoft Windows XP Beta. Firma Microsoft pracuje nad uzyskaniem rozwiązania bezpośrednio z niewielką liczbą klientów, którzy używają wersji Beta w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz część dotyczącą często zadawanych pytań (FAQ) w następującej witrynie firmy Microsoft w sieci Web:
Symptomy
W ramach procesu instalacji program IIS instaluje kilka rozszerzeń ISAPI. Są to biblioteki dołączane dynamicznie (DLL), które oferują rozszerzoną funkcjonalność. Należy do nich również biblioteka Idq.dll, która jest składnikiem serwera indeksowania (nazywanego w systemie Windows 2000 usługą indeksowania) oferującym obsługę skryptów administracyjnych (są to pliki Internet Data Administration — .ida) i plików Internet Data Query (.idq).

W wyniku tego powstaje luka z zabezpieczeniach, ponieważ plik Idq.dll zawiera niesprawdzany bufor w sekcji kodu obsługującej wejściowe adresy URL. Osoba atakująca, która ustanowi sesję sieci Web z serwerem, na którym zainstalowany jest plik Idq.dll, może przeprowadzić atak oparty na przepełnieniu buforu i wykonać swój kod na serwerze sieci Web. Plik Idq.dll jest uruchamiany w kontekście System, więc wykorzystanie tej luki daje osobie atakującej pełną kontrolę nad serwerem i pozwala jej wykonać na nim dowolną czynność.

Przepełnienie buforu następuje przed zażądaniem jakiejkolwiek funkcji indeksowania. W efekcie, mimo tego, że plik Idq.dll jest składnikiem serwera indeksowania/usługi indeksowania, osoba atakująca nie musi uruchomić tej usługi, aby wykorzystać lukę. Jeśli tylko istnieje mapowanie skryptu dla pliku .idq lub .ida, osoba atakująca jest w stanie ustanowić sesję sieci Web, może ona wykorzystać tę lukę.

Jest to poważna luka i firma Microsoft zaleca, aby wszyscy klienci natychmiast podjęli odpowiednie kroki w celu jej usunięcia. Klienci, którzy nie mogą zainstalować poprawki, mogą ochronić swoje systemy, usuwając mapowanie skryptów dla plików .idq i .ida za pomocą Menedżera usług internetowych w programie IIS. Możliwe jest jednak ponowne automatyczne utworzenie mapowania w przypadku dodania lub usunięcia dodatkowych składników systemu. Z tego powodu firma Microsoft zaleca, aby wszyscy klienci używający programu IIS zainstalowali poprawkę nawet po usunięciu mapowania skryptów. Aby uzyskać więcej informacji, zobacz część dotyczącą często zadawanych pytań (FAQ) w następującej witrynie firmy Microsoft w sieci Web:

Czynniki łagodzące

 • Ta luka może być wykorzystana tylko w przypadku ustanowienia sesji sieci Web z danym serwerem. Klienci, którzy zainstalowali serwer indeksowania lub usługę indeksowania, ale nie zainstalowali programu IIS, nie są narażeni na ryzyko. Taka opcja jest opcją domyślną dla systemu Windows 2000 Professional.
 • Luki tej nie można wykorzystać, jeśli nie istnieje mapowanie skryptów dla plików .ida i .idq. Procedurę usunięcia tego mapowania opisano w listach kontrolnych zabezpieczeń dla programów IIS 4.0 i IIS 5.0; można je usunąć automatycznie przy użyciu szablonu Wysoki poziom zabezpieczeń lub narzędzia Windows 2000 Internet Server Security Tool. Klienci powinni jednak pamiętać, że dodanie lub usunięcie składników systemu może spowodować, że mapowanie zostanie utworzone ponownie, jak to opisano w części dotyczącej często zadawanych pytań (FAQ).

  Aby uzyskać więcej informacji, odwiedź następujące witryny firmy Microsoft w sieci Web:
 • Możliwość rozszerzenia kontroli przez osobę atakującą z zaatakowanego serwera sieci Web na inne komputery w dużym stopniu zależy od konfiguracji sieci. Zgodnie z najlepszymi wskazówkami zaleca się, aby sama architektura sieci minimalizowała wysokie ryzyko, na jakie narażone są komputery w środowisku niekontrolowanym, takim jak Internet, przez ograniczenie „widoczności” komputerów. Służą do tego takie kroki, jak tworzenie stref zdemilitaryzowanych, działanie z minimalną liczbą usług i izolowanie kontaktu z sieciami wewnętrznymi. Kroki te ograniczają zakres ataku.
Rozwiązanie

Windows 2000

Poprawka jest obecnie dostępna w firmie Microsoft, ale jest przeznaczona tylko do rozwiązania problemu opisanego w tym artykule i powinna być stosowana tylko w systemach, w których występuje ryzyko ataku. Należy ocenić fizyczną dostępność komputera, połączenia internetowe i sieciowe, oraz inne czynniki, aby określić stopień ryzyka dla komputera. Może w tym pomóc odpowiedni biuletyn zabezpieczeń firmy Microsoft. Ta poprawka prawdopodobnie będzie w późniejszym czasie dodatkowo testowana, aby zapewnić dobrą jakość produktu. Jeżeli komputer jest narażony na duże ryzyko, firma Microsoft zaleca natychmiastowe zastosowanie poprawki. W innym wypadku należy poczekać na następny dodatek service pack dla systemu Windows 2000 zawierający tę poprawkę.

Aby natychmiast rozwiązać ten problem, pobierz odpowiednią poprawkę lub skontaktuj się z Pomocą techniczną firmy Microsoft w celu uzyskania poprawki. Pełną listę numerów telefonów Pomocy technicznej firmy Microsoft oraz informacje na temat kosztów obsługi można uzyskać pod następującym adresem w sieci Web:

Poniższy plik jest udostępniony do pobrania w witrynie Microsoft – Centrum pobierania:
Aby uzyskać dodatkowe informacje, jak pobierać pliki Pomocy technicznej firmy Microsoft, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Data wydania: poniedziałek, 18 czerwca 2001

Przed opublikowaniem tego pliku firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów do skanowania pliku w poszukiwaniu wirusów. Po opublikowaniu plik jest przechowywany na bezpiecznych serwerach, które uniemożliwiają nieautoryzowane zmiany w pliku.

UWAGA: Klienci, którzy zastosują tę poprawkę na komputerach z systemem Windows 2000 i Instrumentacją zarządzania Windows (WMI) mogą również potrzebować dodatkowej poprawki. Istnieje znany problem, który, chociaż niezwiązany ze wspomnianą poprawką, może powodować, że proces WMI (Winmgmt.exe) przestaje odpowiadać (zawiesza się) i pochłania 100% zasobów procesora i pamięci, jeśli jakiś program zażąda informacji dotyczących obiektów Win_QuickFixEngineering. Może tak się na przykład zdarzyć, gdy system Microsoft Systems Management Server (SMS) zażąda od usługi WMI określenia, jakie poprawki zostały zastosowane. Aby uzyskać dodatkowe informacje, jak rozwiązać ten problem, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
279225 WMI Win32_QuickFixEngineering Queries Cause Winmgmt Process to Hang
Wersja anglojęzyczna tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):
  Data     Godzina Wersja     Rozmiar Nazwa pliku  -----------------------------------------------------  24-maj-2001 16:29  5.0.2195.3645 121 104 Idq.dll
UWAGA: Ze względu na zależności plików ta osobna poprawka wymaga dodatku Microsoft Windows 2000 Service Pack 1 lub nowszego.

Windows NT 4.0 Server

Aby rozwiązać ten problem, uzyskaj pojedynczy pakiet wymieniony poniżej lub dodatek Windows NT 4.0 Security Rollup Package. Aby uzyskać dodatkowe informacje dotyczące dodatku SRP, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
299444 Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)
Poniższy plik jest udostępniony do pobrania w witrynie Microsoft – Centrum pobierania:
UWAGA: Aby uzyskać wersję Alpha tego dodatku, skontaktuj się z Pomocą techniczną produktu (PSS).

Aby uzyskać dodatkowe informacje, jak pobierać pliki Pomocy technicznej firmy Microsoft, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Data wydania: poniedziałek, 18 czerwca 2001

Przed opublikowaniem tego pliku firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów do skanowania pliku w poszukiwaniu wirusów. Po opublikowaniu plik jest przechowywany na bezpiecznych serwerach, które uniemożliwiają nieautoryzowane zmiany w pliku.

Wersja anglojęzyczna tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):
  Data     Wersja   Rozmiar Nazwa pliku  -------------------------------------------  03-lip-2001 5.0.1782.4 193 296 Idq.dll
UWAGA: Ze względu na zależności plików ta osobna poprawka wymaga dodatku Service Pack 6a systemu Microsoft Windows NT 4.0.

Oryginalna wersja anglojęzyczna tej poprawki miała następujące atrybuty pliku:
  Data     Wersja    Rozmiar Nazwa pliku  -------------------------------------------  25-maj-2001 5.00.1782.4 193 296 Idq.dll
UWAGA: W celu rozwiązania problemu z wersją pliku ponownie wydano plik Idq.dll. W szczególności numer wersji pliku Idq.dll z oryginalnej poprawki (z 25 maja 2001) nie został zwiększony w stosunku do poprzedniej kompilacji (z 25 stycznia 2001). Numerem obu tych wersji był 5.0.1781.3. Nową wersję poprawki wydano 2 sierpnia 2001. Poprawka ta zawiera plik Idq.dll z 3 lipca 2001, którego numerem wersji jest 5.0.1782.4. W tej nowej wersji poprawki nie wprowadzono żadnych innych zmian.

Jeśli zainstalowano oryginalną wersję tej poprawki (plik Idq.dll w wersji 5.0.1781.3 z 25 maja 2001), nie trzeba stosować nowej wersji (plik Idq.dll w wersji 5.0.1782.4 z 3 lipca 2001), ponieważ system jest już chroniony. Jeśli jednak numerem wersji pliku Idq.dll na komputerze jest 5.0.1781.3 (z 25 stycznia 2000), należy uaktualnić poprawkę.

Windows NT Server 4.0, Terminal Server Edition

Program IIS nie jest przeznaczony do używania w systemie Windows NT Server 4.0, Terminal Server Edition i nie jest obsługiwany. Firma Microsoft zaleca, aby klienci używający programu IIS 4.0 w systemie Windows NT Server 4.0, Terminal Server Edition ochronili swoje systemy przez odinstalowanie programu IIS 4.0.
Stan
Firma Microsoft potwierdziła, że ten problem w pewnym stopniu może być przyczyną luki w zabezpieczeniach w systemach Windows 2000 i Windows NT Server 4.0.
Więcej informacji
Aby uzyskać dodatkowe informacje, jak otrzymać poprawkę dla systemu Windows 2000 Datacenter Server, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
265173 The Datacenter Program and Windows 2000 Datacenter Server Product
Aby uzyskać dodatkowe informacje, jak zainstalować wiele poprawek za pomocą tylko jednego ponownego rozruchu, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
296861 Use QChain.exe to Install Multiple Hotfixes with One Reboot
Aby uzyskać dodatkowe informacje, jak jednocześnie zainstalować system Windows 2000 i poprawki dla systemu Windows 2000, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
249149 Installing Microsoft Windows 2000 and Windows 2000 Hotfixes
poprawka zabezpieczeń kod czerwony 2 II wirus robak
Właściwości

Identyfikator artykułu: 300972 — ostatni przegląd: 02/26/2014 23:22:00 — zmiana: 4.1

Microsoft Index Server 2.0, Microsoft Internet Information Server 4.0, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows Indexing Service 2.0, Internetowe usługi informacyjne Microsoft 5.0

 • kbnosurvey kbarchive kbqfe kbhotfixserver kbbug kbfix kbwin2000presp3fix kbwin2000sp3fix kbwinnt400presp7fix KB300972
Opinia