การแก้ไขปัญหาสำหรับช่องโหว่การแสดงแฟ้ม

ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ

ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:231368
บทความนี้ถูกเก็บถาวรแล้วเนื้อหาของบทความจึงถูกนำเสนอ "ตามลักษณะที่เป็น" และจะไม่มีการปรับปรุงข้อมูลอีก
อาการ
Microsoft ได้ระบุช่องโหว่ที่เกิดขึ้นในการแสดงบางแฟ้มที่มีอยู่เซิร์ฟเวอร์ไซต์ของ Microsoft และเซิร์ฟเวอร์ข้อมูลทางอินเทอร์เน็ต

ช่องโหว่ที่ให้ visitor เว็บไซต์ เพื่อดู แต่ไม่ ให้การเปลี่ยน แปลง แฟ้มบนเซิร์ฟเวอร์ โดยที่ visitor ที่ทราบ หรือ guesses ชื่อของแต่ละแฟ้ม และมีสิทธิการเข้าถึงไปยังแฟ้มที่ขึ้นอยู่กับ Windows NT การเข้าถึงตัวควบคุมรายการ (acl)
สาเหตุ
เครื่องมือตัวแสดงแฟ้มไม่จำกัดแฟ้มใดที่ผู้ใช้สามารถดู
การแก้ไข

เซิร์ฟเวอร์ไซต์ 3.0

เมื่อต้องการแก้ไขปัญหานี้ ขอรับ service pack ล่าสุดสำหรับไซต์ Server 3.0 สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
219292วิธีการรับล่าสุดไซต์ Server 3.0 Service Pack
ปัญหานี้ถูกแก้ไขในไซต์ Server 3.0 Service Pack 3 ครั้งแรก

iis 4.0

การแก้ไขได้รับการพัฒนาสำหรับ IIS 4.0 และได้ถูกลงรายการบัญชีไปยังตำแหน่งอินเทอร์เน็ตต่อไปนี้เป็น Fix2450I.exe (Intel) หรือ Fix2450A.exe (Alpha):
การหลีกเลี่ยงปัญหา
เพื่อกำจัดช่องโหว่ในเว็บเซิร์ฟเวอร์ที่อาจมีสาเหตุจากการแสดงแฟ้มเหล่านี้ คุณควรดำเนินการ:

  • เอาการแสดงแฟ้มที่ได้รับผลกระทบ ยกเว้นว่าพวกเขาจะจำเป็นต้องใช้บนเว็บไซต์โดยเฉพาะอย่างยิ่ง แสดงแฟ้มต่อไปนี้ได้รับผลกระทบ: ViewCode.asp, ShowCode.asp, Code.asp, CodeBrws.asp และ Winmsdp.exe ขึ้นอยู่กับการติดตั้งเฉพาะ ไม่ทั้งหมดของแฟ้มเหล่านี้อาจปรากฏขึ้นบนเซิร์ฟเวอร์ อาจมีหลายสำเนาของแฟ้มบางแฟ้ม ดังนั้นคุณควรทำการค้นหาแบบเต็มของเซิร์ฟเวอร์ของคุณเพื่อค้นหาสำเนาทั้งหมด
  • ตาม ด้วยคำแนะนำในการรักษาความปลอดภัยมาตรฐาน แฟ้มควรเสมอเป็นการตั้งค่าสิทธิ์การเปิดใช้งานผู้เยี่ยมชมเว็บเพื่อให้สามารถเข้าถึงเฉพาะแฟ้มพวกเขาต้อง และไม่มีผู้อื่น แฟ้มที่จำเป็น โดยเว็บที่ผู้เยี่ยมชมควรมีสิทธิ์น้อยที่สุดที่จำเป็น ตัวอย่างเช่น แฟ้มที่ผู้เยี่ยมชมเว็บจำเป็นเพื่อให้สามารถอ่านแต่ไม่มีการเขียนควรถูกกำหนดเป็นแบบอ่านอย่างเดียว
  • ตามกฎทั่วไป แฟ้มตัวอย่างและรากเสมือน (vroots) ควรเสมอถูกลบออกจากเว็บเซิร์ฟเวอร์ก่อนที่คุณใส่ไว้ในการผลิต ถ้าแฟ้มตัวอย่างและ vroots จะจำเป็น สิทธิ์การเข้าถึงแฟ้มควรจะใช้เพื่อ regulate เข้าถึงเหล่านี้ตามความเหมาะสม
ข้อมูลเพิ่มเติม
เซิร์ฟเวอร์ไซต์ของ Microsoft และเซิร์ฟเวอร์ข้อมูลทางอินเทอร์เน็ต (IIS) รวมถึงเครื่องมือที่อนุญาตให้ผู้เยี่ยมชมเว็บไซต์เพื่อดูแฟ้มที่เลือกไว้บนเซิร์ฟเวอร์ เครื่องมือเหล่านี้มีการติดตั้ง โดยค่าเริ่มต้นในเซิร์ฟเวอร์ไซต์ แต่ติดตั้งต้องถูกเปิดอยู่ใน IIS เครื่องมือเหล่านี้ให้การอนุญาตให้ผู้ใช้สามารถดูรหัสแหล่งที่มาของแฟ้มตัวอย่างเป็น exercise การเรียนรู้ และไม่ได้มีไว้เพื่อที่ถูกจัดวางบนเว็บเซิร์ฟเวอร์ที่ผลิต ปัญหาที่ขีดเส้นใต้ในช่องโหว่นี้คือ ว่า เครื่องมือไม่จำกัดแฟ้มใด visitor เว็บไซต์ที่สามารถดู

หมายเหตุของจุดที่สำคัญต่อไปนี้:
  • ไม่มีการติดตั้งแสดงแฟ้มเหล่านี้ตามค่าเริ่มต้นใน IIS จะมีการติดตั้งใน IIS ถ้าคุณเลือกที่จะติดตั้งแฟ้มเว็บตัวอย่าง
  • ช่องโหว่นี้ช่วยให้ visitor เว็บไซต์ที่เฉพาะเพื่อดูแฟ้ม ไม่มีความสามารถในการเปลี่ยนแปลงแฟ้ม หรือเพิ่มแฟ้มไปยังเซิร์ฟเวอร์ได้
  • ช่องโหว่นี้ไม่ใด ๆ ข้ามสิทธิ์ในแฟ้ม Windows NT acl visitor เว็บไซต์ที่สามารถใช้เครื่องมือเหล่านี้เพื่อดูเฉพาะแฟ้มที่ acl อนุญาตให้เข้าถึงแบบอ่าน ดูแลเว็บเซิร์ฟเวอร์กำหนดสิทธิ์เฉพาะสำหรับแฟ้มทั้งหมดบนเซิร์ฟเวอร์
  • แสดงที่สามารถใช้ได้เมื่อต้องการดูแฟ้มบนพาร์ติชันเดียวกันเป็นเว็บเพจที่แสดงอยู่ในปัจจุบันเท่านั้น ฐานข้อมูล เช่นที่ใช้ โดยเซิร์ฟเวอร์พาณิชย์อิเล็กทรอนิกส์ จะถูกเก็บไว้บนไดรฟ์ที่มีอยู่จริงแตกต่างกันโดยทั่วไป และจะไม่ได้รับความเสี่ยง
  • visitor เว็บไซต์ที่จำเป็นต้องทราบ หรือ guess ชื่อของแต่ละแฟ้มที่พวกเขาต้องการดู

การอ้างอิงเพิ่มเติม

ตั้งโปรแกรมปรับปรุงโปรแกรมแก้ไขด่วนลัดในการแก้ไขค่าเริ่มต้นตั้งค่า breach แฮกเกอร์อรรถประโยชน์ viewcode อ่านดู akz cpa แหล่งที่มา

คำเตือน: บทความนี้ได้รับการแปลโดยอัตโนมัติ

คุณสมบัติ

รหัสบทความ: 231368 - การตรวจสอบครั้งสุดท้าย: 02/23/2014 11:13:00 - ฉบับแก้ไข: 2.0

Microsoft Site Server 3.0 Commerce Edition, Microsoft Commercial Internet System 2.0, Microsoft BackOffice Server 4.0, Microsoft BackOffice Server 4.5

  • kbnosurvey kbarchive kbhotfixserver kbqfe kbpending kbprb kbmt KB231368 KbMtth
คำติชม