CORREÇÃO: ISA 2006 bloqueia solicitações de site publicado para URLs que incluem retornos de carro (CR) ou alimentações de linha (LF)

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

2622172
Importante Este artigo contém informações que mostram como ajudar a diminuir as configurações de segurança ou como desativar os recursos de segurança em um computador. Você pode fazer essas alterações para solucionar um problema específico. Antes de fazer essas alterações, recomendamos que avalie os riscos associados à implementação deste procedimento no seu ambiente específico. Se você implementar esse procedimento, execute quaisquer etapas adicionais apropriadas para ajudar a proteger o computador.
Sintomas
Considere o seguinte cenário:
  • Você pode publicar uma página da Web por meio do Microsoft Internet Security and Acceleration (ISA) Server 2006 usando a autenticação baseada em formulários.
  • Você pode acessar esta página da Web usando uma URL que contém um retorno de carro de escape ("% 0 D") ou um avanço de linha ("0A %") no URL.

Nesse cenário, o ISA Server 2006 bloqueia o acesso à URL. Além disso, os logs de ISA Web Proxy mostram um código de resultado de 12232 para a solicitação negada.

Observação Tenha em mente que esse código de resultado também pode ser registrado por causa de outras questões e que teria que ser revisadas para o URL que está conectado 0a % ou d % 0 caracteres para determinar se é esse o problema que você enfrente.
Causa
Esse problema ocorre porque o filtro de autenticação baseada em formulários bloqueia conhecidos cross site scripting e ataques relacionados. Nesse caso, o filtro está bloqueando os ataques que também incluem retornos de carro e alimentações de linha de divisão de resposta. No entanto, os URLs válidas também podem incluir esses caracteres. Por exemplo, o aplicativo de IBM Rational Clearquest é conhecido por usar retornos de carro ou alimentações de linha nos seus URLs.
Resolução
Para resolver esse problema, instale o pacote cumulativo de hotfix do ISA Server 2006 descrita no seguinte artigo da Base de Conhecimento Microsoft:
2616326 Descrição do hotfix do ISA Server 2006: setembro de 2011
Mais Informação
Aviso Esse procedimento pode tornar um computador ou em uma rede mais vulnerável a ataques por usuários mal-intencionados ou softwares mal-intencionados como vírus. Nós não recomendamos esse procedimento, mas fornece estas informações para que você pode implementar esse procedimento com sua vontade. Use este procedimento em seu próprio risco.

O script a seguir irá desativar o comportamento padrão no ISA Server 2006 Service Pack 1 e ativar o ISA Server permitir que os URLs que contêm alimentações de linha (LF) no endereço do URL ou de retornos de carro (CR). Para usar esse script, siga estas etapas.

ImportanteObservação Desabilitar esse comportamento padrão do ISA Server 2006 SP1 (para acomodar tais aplicativos) poderia permitir também que o ISA Server permitir as URLs que têm sido especificamente criadas para ataques de "cross-site falsificação de solicitação" quando o ISA Server usa a autenticação com base no formulário.
  1. Inicie o bloco de notas.
  2. Cole o seguinte script em um novo documento.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "AllowNewlineInURL"Const SE_VPS_VALUE = true Sub SetValue()     ' Create the root object.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")     'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object     ' Get references to the array object    ' and to the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets     On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )     If Err.Number <> 0 Then        Err.Clear         ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )       CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name     Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If     if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then         Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE         If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError             If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End If End Sub Sub CheckError()     If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End If End Sub SetValue
  3. Sobre o Arquivo menu, clique em Salvar comoe então salve o arquivo como AllowNewlineInURL.vbs.
  4. Em um prompt de comando, digite o seguinte comando e pressione Enter:
    cscript AllowNewlineInURL.vbs
Para retornar para o comportamento padrão no ISA Server 2006 Service Pack 1 para bloquear os URLs que podem conter os ataques de falsificação de solicitação intersite ao usar a autenticação com base do formulário, siga estas etapas:
  1. Inicie o bloco de notas e abra o script AllowNewlineInURL.vbs.
  2. Localize a seguinte linha de código no script.
    Const SE_VPS_VALUE = true
  3. Altere o código para a seguinte linha:
    Const SE_VPS_VALUE = false
  4. Sobre o Arquivo menu, clique em Salvar.
  5. Em um prompt de comando, digite o seguinte comando e pressione Enter:
    cscript AllowNewlineInURL.vbs
Ponto Da Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".
Referências
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684 Descrição da terminologia padrão usada para descrever as atualizações de software Microsoft
ISA2010

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2622172 - Última Revisão: 10/06/2011 21:24:00 - Revisão: 2.0

  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
  • kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtpt
Esta informação foi útil?