格式錯誤的 WebDAV 要求可能會造成 IIS 耗盡 CPU 資源

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

291845
本文已封存。本文係以「現狀」提供且不會再更新。
我們強烈建議所有使用者都升級到 Microsoft 網際網路資訊服務 (IIS) 6.0 版 Microsoft Windows Server 2003 上執行。 IIS 6.0 能大幅提升網頁基礎結構的安全性。如需有關 IIS 與安全性相關的主題請造訪下列的 Microsoft Web 網站:
徵狀
全球資訊網分散式撰寫及版本處理 (WebDAV) 是允許遠端撰寫和管理 Web 內容的 HTTP 通訊協定的延伸。在 Windows 2000 通訊協定的實作,Microsoft 網際網路資訊服務 (IIS) 5.0 執行所有的 WebDAV 要求的初始處理,以及會轉送到 WebDAV 處理程序適當的指令。不過,WebDAV 處理特定類型的格式不正確要求的方式有個瑕疵。如果這類格式不正確要求的資料流導向受影響的伺服器在它會耗用伺服器上的所有 CPU 可用性。

緩和因素
  • 透過這項弱點攻擊的效果是暫時的。伺服器會立刻格式不正確的要求停止抵達,自動繼續正常的服務。
  • 這項弱點不會提供攻擊者利用 WebDAV 要求執行任何功能。
  • 這項弱點並不提供任何功能,以破壞伺服器上的資料,或取得伺服器的系統管理控制權。
Microsoft 建議客戶套用至執行 IIS 5.0 任何伺服器本文所述補充程式。雖然這包括 Web 伺服器,其他服務也可能需要啟用 IIS 5.0。比方說 Exchange 2000 伺服器使用 IIS 5.0 提供 Outlook Web Access (OWA) 服務。因此,執行 Exchange 2000 Server 的電腦,可以提供 OWA 服務應該實作補充程式保護其 IIS 5.0 服務免於這項弱點。
解決方案
如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
260910如何取得最新的 Windows 2000 Service Pack
此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time    Version      Size     File name   -----------------------------------------------------   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll				
重要: 如果您先前執行因應措施 Q241520 本文所述,可能當您安裝此修正程式會顯示以下對話方塊:
複製錯誤安裝程式無法複製檔案 httpext.dll。 請確定下列指定的位置是正確的或變更它,且在您指定的磁碟機中插入 'Windows 2000 系統檔案'。 複製檔案來源: (下拉式方塊下面) c:\%windir%\system32\inetsrv
略過此對話方塊,請依照下列步驟執行以重新啟用 WebDAV:
  1. 開啟 [Windows 檔案總管]。
  2. 移至 %SystemRoot%\System32\Inetsrv 資料夾。
  3. 您 Httpext.dll] 檔案上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [安全性] 索引標籤。
  5. 選取 [所有人,然後按一下 [移除]。
  6. 選取 [允許來自傳播到這個物件的父項的可繼承權限] 核取方塊,然後按一下 [套用]
  7. 按一下 [確定] 結束 [內容] 對話方塊。

其他可行方案
如需有關如何解決這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
241520如何停用 IIS 5.0 的 WebDAV
狀況說明
Microsoft 已確認這是在 Microsoft Windows 2000 中的問題。 這個問題已經先在 Windows 2000 Service Pack 2 中獲得修正。
其他相關資訊
如需有關這項弱點的詳細資訊,請參閱下列 Microsoft 網站]: 如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
249149安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix
DoS 拒絕服務 security_patch DAV 的分散式撰寫及版本控制

警告:本文已自動翻譯

內容

文章識別碼:291845 - 最後檢閱時間:10/23/2013 17:04:33 - 修訂: 3.2

  • Microsoft Internet Information Services 5.0
  • kbnosurvey kbarchive kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtzh
意見反應