用于消除索引服务中可能允许远程代码执行漏洞的替代方法

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

本文已归档。它按“原样”提供,并且不再更新。
简介
索引服务中的漏洞可能允许远程代码执行。此漏洞与长度超过 62 个字符的特殊格式的查询有关。安全更新 871250 可以消除此漏洞。本文介绍一种方法,该方法可帮助防止攻击者试图利用尚未应用安全更新 871250 的计算机上的漏洞。
更多信息

操作系统软件开发工具包 (SDK) 包括用来查询索引服务的示例代码 (Query.asp)。Query.asp 使用 Microsoft Internet 信息服务 (IIS) 和索引服务的 IXSSO 查询对象。以下示例中以粗体显示的行演示了可添加到 Query.asp 中以限制查询长度的额外代码。这些额外代码有助于防止有人企图利用此漏洞。可以通过类似方法更新其他操作系统 SDK 示例查询页。
    if right(SearchString, 1) = chr(34) then            SrchStrLen = SrchStrLen-1            SearchString = left(SearchString, SrchStrLen)    end if    SrchStrLen = len( SearchString )    if SrchStrLen > 60 then            SrchStrLen = 60            SearchString = left( SearchString, 60 )    end if    if Advanced<> "on" then      CompSearch = "{freetext} " &  SearchString & "{/freetext}"    else      CompSearch = SearchString    end if    set Q = Server.CreateObject("ixsso.Query")    set Util = Server.CreateObject("ixsso.Util")

有关安全更新 871250 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
871250MS05-003:索引服务中的漏洞可能允许远程代码执行
属性

文章 ID:890621 - 上次审阅时间:01/16/2015 15:30:10 - 修订版本: 1.2

Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition

  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity kbadmin kbexpertiseadvanced KB890621
反馈