MS01-004: Güvenlik Açığı '.HTR üzerinden okurken Dosya Parçalanması yeni varyant kullanılabilir düzeltme

ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.

285985
Bu makale arşivlenmiştir. "Olduğu gibi" sunulmaktadır ve bundan sonra güncelleştirilmeyecektir.
Belirtiler
Microsoft ınternet ınformation Server (IIS) 4.0 ve ınternet ınformation Services (IIS) 5.0 bir güvenlik açığını ortadan kaldıran bir düzeltme eki yayımladı. Çok sıradışı durumlarda, bir Web sunucusunda dosya parçaları okunamıyor, bir saldırganın bu güvenlik açığından izin verebilirsiniz.

Bu güvenlik açığından Microsoft Security Bulletin (MS00-044) anlatılan "Dosya Parçalanması okuma aracılığıyla .htr" güvenlik açığının yeni bir türevi içerir. Diğer varyanttaki gibi bu dosya neden .htr ISAPI uzantısı tarafından işlenecek şekilde istemek bir saldırganın. Bu, .asp dosyaları gibi sunucu tarafı dosya parçaları için saldırganın olası gönderilebilecek sonucudur. Hiçbir özelliği aracılığıyla bu güvenlik açığından eklemek, değiştirmek veya sunucudaki dosyaları silin veya bir dosyaya izinler olmadan erişim yok.

Bu güvenlik açığından önemli kısıtlamalar vardır:

  • Normal .htr işlenirken önemli bilgileri içerecek şekilde en yakın olabilecek çok verileri kaldýrmak için sahiptir.
  • Sırada gönderilecek dosya parçaları için sunucu belleği fortuitously bulunan sıfır olması gerekir.
  • Gerek şimdiye kadar hassas bilgiler .asp ve diğer sunucu-tarafı dosyaları depolama önlemek için ilgili en iyi uygulamalar izlenmişse, olmalıdır dosyalardaki önemli bilgi ile başlanır.
Daha önce .htr işlevselliğini devre dışı bırakan müşteriler bu güvenlik açığından etkilenmez. Olmadığı sürece, tutmak için kritik bir nedenle Microsoft, tüm müşteriler .htr işlevselliği devre dışı bırakmanızı önerir. Müşteri iskontosu grubu için kullanılabilir bir düzeltme eki, bu güvenlik açığını ortadan kaldırır.
Çözüm

Internet Information Services 5.0

Bu sorunu gidermek için, bu bölümde başvurulan düzeltmeyi veya Windows 2000 Güvenlik Toplaması Paketi 1'i (SRP1) edinin. SRP1 hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
311401Windows 2000 Güvenlik Toplama Paketi 1 (SRP1), Ocak 2002
Bu sorunu gidermek için, en son Windows 2000 hizmet paketini edinin. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
260910En son Windows 2000 hizmet paketi nasıl elde edilir
Aşağıdaki dosyalar Microsoft Yükleme Merkezi'nden yüklenebilir:
Microsoft destek dosyalarını karşıdan yükleme konusunda ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591Microsoft Destek Dosyaları Çevrimiçi Hizmetler'den Nasıl Alınır
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır.

Bu düzeltmenin İngilizce sürümünde aşağıdaki dosya öznitelikleri veya üstü bulunur:
   Date        Time    Version         Size     File name   Platform   -----------------------------------------------------------------   5/31/2001   03:31p  5.0.2195.3649  46,352    Ism.dll     x86				
Not: Dosya bağımlılıkları nedeniyle, bu düzeltme, Windows NT 4.0 Service Pack 5 veya Service Pack 6a gerektirir.

Internet ınformation Server 4.0

Windows NT 4.0

Bu sorunu gidermek için Windows NT 4.0 Güvenlik Toplaması Paketi'ni edinin. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
299444Windows NT 4.0 Service Pack 6a Sonrası Güvenlik Toplaması Paketi (SRP)

Microsoft Windows NT Server 4.0 Terminal Server Edition sürümü

Bu sorunu gidermek için Windows NT Server 4.0 Terminal Server Edition Güvenlik Toplaması Paketi'ni (SRP) edinin. SRP hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
317636Windows NT Server 4.0, Terminal Server Edition Güvenlik Toplaması Paketi
Durum
Microsoft bu sorunun bir ölçüde güvenlik açığına neden IIS 4.0 ve 5.0 olabileceğini onaylamıştır.Bu sorun ilk olarak Microsoft 2000 Service Pack 3'te düzeltilmiştir.
Daha fazla bilgi
Windows 2000 Datacenter Server'a yönelik bir düzeltme edinme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
265173Datacenter programı ve Windows 2000 Datacenter Server ürünü
Birden çok düzeltmeyi tek bir yeniden başlatmayla yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
296861QChain.exe Dosyasını Kullanarak Tek Bir Yeniden Başlatma ile Birden Çok Düzeltme Yükleme
Bu güvenlik açığı hakkında daha fazla bilgi için lütfen aşağıdaki Microsoft Web sitesine bakın:
güvenlik_düzeltme_eki kbWin2000srp1 kbIISCom

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 285985 - Son İnceleme: 02/14/2014 02:06:00 - Düzeltme: 5.1

  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB285985 KbMttr
Geri bildirim