MS00-084:解决索引服务漏洞的更新已推出

本文已归档。它按“原样”提供,并且不再更新。
症状
Microsoft 已发布了一种更新,用于解决与 Windows 2000 和 Windows NT 4.0 索引服务的 Webhits 组件 (Webhits.dll) 相关的潜在安全漏洞。此漏洞是由索引服务中的某个功能导致的,该功能允许用户指定其他 HTML,用来突出显示查询文本的匹配项。使用该功能,用户可以将原始 HTML 作为参数传递给 .htw 文件。此 HTML 不会以任何方式被避开或扫描到。因此,用户就可以提交 HTML 中嵌入的脚本。此漏洞称为跨站点脚本执行 (CSS)。有关 CSS 的更多信息,请参阅本文的“更多信息”一节。

注意:索引服务与 Windows 2000 一起提供并安装,但在默认情况下不启用。如果您在 Windows 2000 上运行 Web 服务器并且已启用索引服务,则强烈建议您应用此修补程序。Windows NT 4.0 的索引服务与 NT Option Pack 一起提供,但不随其一起安装或默认情况下不启用。
解决方案

Windows 2000

要解决此问题,请获取最新的 Windows 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
260910 如何获取最新的 Windows 2000 Service Pack
该修复程序的英文版应具有以下或更新的文件属性:日期          时间                大小        文件        平台-----------------------------------------------------------10/31/2000 11:08am          42,768   Webhits.dll   i386				

索引服务器 2.0

从 Microsoft 下载中心可以下载以下文件:
除日语 NEC 和中国香港特别行政区中文以外的所有语言 日语 NEC中国香港特别行政区中文 发布日期:2003 年 4 月 9 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。 此修复程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。若要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的“时区”选项卡。
   日期		时间	版本		大小	文件名   ---------------------------------------------------   25-Feb-2003	06:53	5.0.1782.5	42,256	Webhits.dll
状态
Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。 此问题最早在 Windows 2000 Service Pack 2 中得到了解决。
更多信息
有关此漏洞和修补程序的更多信息,请访问下面的 Microsoft Web 站点: Microsoft 和计算机应急反应小组 (CERT) 协调中心于 2000 年 2 月 20 日发布了有关新发现的影响所有 Web 服务器产品的安全漏洞的信息。此漏洞称为跨站点脚本执行 (CSS),会导致 Web 程序在将输入应用到动态 Web 页前无法正确验证输入。如果一个恶意 Web 站点操作员可以引诱用户访问他的站点,并且已经发现另一个第三方 Web 站点存在 CSS 漏洞,则该操作员可能会潜在地利用此漏洞,将脚本“注入”到其他 Web 站点创建的 Web 页中,该页将被传送给用户。从而会造成恶意用户的脚本通过使用其他站点的信任在用户的计算机上运行。

该漏洞影响所有运行在 Web 服务器上,接受用户输入,然后“盲目地”使用它生成 Web 页的所有软件。Microsoft 已经确定 Windows 2000 和 Windows NT 4.0 索引服务中的组件易受此漏洞的攻击,并发布了公告和纠正此问题的修补程序。
security_patch
属性

文章 ID:278499 - 上次审阅时间:02/24/2014 00:47:12 - 修订版本: 3.1

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Index Server 2.0
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbwin2000presp2fix kbqfe kbenv kbsecurity kbsecbulletin kbhotfixserver KB278499
反馈