用于消除索引服务中可能允许远程代码执行漏洞的替代方法

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

本文已归档。它按“原样”提供,并且不再更新。
简介
索引服务中的漏洞可能允许远程代码执行。此漏洞与长度超过 62 个字符的特殊格式的查询有关。安全更新 871250 可以消除此漏洞。本文介绍一种方法,该方法可帮助防止攻击者试图利用尚未应用安全更新 871250 的计算机上的漏洞。
更多信息

操作系统软件开发工具包 (SDK) 包括用来查询索引服务的示例代码 (Query.asp)。Query.asp 使用 Microsoft Internet 信息服务 (IIS) 和索引服务的 IXSSO 查询对象。以下示例中以粗体显示的行演示了可添加到 Query.asp 中以限制查询长度的额外代码。这些额外代码有助于防止有人企图利用此漏洞。可以通过类似方法更新其他操作系统 SDK 示例查询页。
    if right(SearchString, 1) = chr(34) then            SrchStrLen = SrchStrLen-1            SearchString = left(SearchString, SrchStrLen)    end if    SrchStrLen = len( SearchString )    if SrchStrLen > 60 then            SrchStrLen = 60            SearchString = left( SearchString, 60 )    end if    if Advanced<> "on" then      CompSearch = "{freetext} " &  SearchString & "{/freetext}"    else      CompSearch = SearchString    end if    set Q = Server.CreateObject("ixsso.Query")    set Util = Server.CreateObject("ixsso.Util")

有关安全更新 871250 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
871250MS05-003:索引服务中的漏洞可能允许远程代码执行
属性

文章 ID:890621 - 上次审阅时间:01/16/2015 15:30:10 - 修订版本: 1.2

  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity kbadmin kbexpertiseadvanced KB890621
反馈