Compartir a través de

Boletín de seguridad

Boletín de seguridad de Microsoft MS04-017- Moderado

Vulnerabilidad en el Visor web de informes de Cristal podría permitir la divulgación de información y la denegación de servicio (842689)

Publicado: 8 de junio de 2004 | Actualizado: 16 de junio de 2004

Versión: 1.1

Emitido: 8 de junio de 2004
Actualizado: 16 de junio de 2004
Versión: 1.1

Resumen

Quién debe leer este documento: Clientes que usan Microsoft® Visual Studio .NET 2003, que usan Microsoft Office Outlook 2003 con Business Contact Manager, o que usan administración de relaciones con clientes (CRM) 1.2 de Microsoft Business Solutions

Impacto de la vulnerabilidad: divulgación de información y denegación de servicio

Clasificación de gravedad máxima: Moderado

Recomendación: Los clientes deben considerar la posibilidad de aplicar la actualización de seguridad.

Reemplazo de actualizaciones de seguridad: Ninguno

Advertencias:

  • Los clientes que usan Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager y que tienen instalado Internet Information Services deben instalar la actualización para ambos productos.
  • La actualización del componente de Microsoft Business Solutions CRM 1.2 está disponible en el sitio web de Business Objects.

Ubicaciones de descarga de actualizaciones de software y seguridad probadas:

Software afectado:

Software no afectado:

  • Todas las demás versiones compatibles de Visual Studio, Outlook y Microsoft Business Solutions CRM.

Nota Outlook 2003 con Business Contact Manager es un complemento para Outlook 2003 que está disponible en un CD independiente, junto con Microsoft Office Small Business Edition 2003 y Microsoft Office Profesional Edition 2003.

El software de esta lista se ha probado para determinar si las versiones se ven afectadas. Otras versiones ya no incluyen compatibilidad con actualizaciones de seguridad o pueden no verse afectadas. Para determinar el ciclo de vida de soporte técnico para el producto y la versión, visite el siguiente sitio web de ciclo de vida de Soporte técnico de Microsoft.

Información general

Resumen ejecutivo

Resumen ejecutivo:

Esta actualización resuelve una vulnerabilidad recién detectada en Crystal Reports y Crystal Enterprise desde Business Objects. Microsoft Visual Studio .NET 2003 (todas las versiones) y Outlook 2003 con Business Contact Manager redistribuyen los informes crystal y, por tanto, se ven afectados por la vulnerabilidad. Microsoft Business Solutions CRM 1.2 redistribuye Crystal Enterprise, lo que se ve afectado de la misma manera. La vulnerabilidad se documenta en la sección Detalles de vulnerabilidad de este boletín.

Un atacante que aprovechara correctamente la vulnerabilidad podría recuperar y eliminar archivos a través de los visores de Crystal Reports y Crystal Enterprise Web en un sistema afectado. El número de archivos de archivos afectados por esta vulnerabilidad dependerá del contexto de seguridad del componente afectado que usa el visor web de Crystal.

Nota Los sistemas solo pueden ser vulnerables si tienen instalado Internet Information Services (IIS).

Microsoft recomienda que los clientes consideren la posibilidad de aplicar la actualización de seguridad.

Clasificaciones de gravedad e identificadores de vulnerabilidad:

Identificadores de vulnerabilidad Impacto de la vulnerabilidad Visual Studio .NET 2003 Outlook 2003 con Business Contact Manager Microsoft Business Solutions CRM 1.2
Vulnerabilidad de recorrido de directorio: CAN-2004-0204 Divulgación de información\ Denegación de servicio Moderado Moderado Moderado

Esta evaluación se basa en los tipos de sistemas afectados por la vulnerabilidad, sus patrones de implementación típicos y el efecto que la vulnerabilidad tendría en ellos.

¿Puedo usar microsoft Baseline Security Analyzer (MBSA) para determinar si se requiere esta actualización?
No. MBSA no admite Outlook con Business Contact Manager, Visual Studio .NET 2003 ni Microsoft Business Solutions CRM 1.2. Microsoft no tiene planes para desarrollar una herramienta de examen para determinar si un sistema es vulnerable.

¿Puedo usar Systems Management Server (SMS) para determinar si esta actualización es necesaria?
Sí. SMS puede ayudar a detectar si hay otros programas instalados que pueden haber instalado una versión del componente vulnerable. SMS puede buscar la existencia del archivo CrystalDecisions.Web.dll. Actualice todas las versiones del archivo CrystalDecisions.Web.dll anterior a la versión 9.1.9800.9.

Detalles de vulnerabilidad

Vulnerabilidad de recorrido de directorio : CAN-2004-0204:

Existe una vulnerabilidad de recorrido de directorio en Crystal Reports y Crystal Enterprise de objetos empresariales que podrían permitir ataques de divulgación de información y denegación de servicio en un sistema afectado. Un atacante que aprovechara correctamente la vulnerabilidad podría recuperar y eliminar archivos a través de la interfaz web Crystal Reports y Crystal Enterprise en un sistema afectado.

Mitigación de factores para la vulnerabilidad de recorrido de directorio : CAN-2004-0204:

  • Los procedimientos recomendados de firewall y las configuraciones de firewall predeterminadas estándar pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro de la empresa. Los procedimientos recomendados recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos.
  • Los sistemas solo pueden ser vulnerables si tienen instalado Internet Information Services (IIS).
  • El ataque solo es eficaz en los archivos en los que el proceso de trabajo de IIS que hospeda el archivo CrystalDecisions.Web.dll tiene permisos de eliminación.

Visual Studio .NET 2003

  • De forma predeterminada, el proceso de trabajo de IIS que hospeda el componente que se usa para aprovechar esta vulnerabilidad está configurado para ejecutarse en diferentes contextos de seguridad, según el sistema operativo y el rol de servidor. Todas estas cuentas son cuentas de tipo limitadas con acceso limitado a los recursos que están en el sistema.
    • En Windows 2000 y Windows XP, la cuenta machine\ASPNET es el contexto de seguridad predeterminado.
    • En los controladores de dominio de Windows 2000, la cuenta de IWAM_MACHINE es el contexto de seguridad predeterminado.
    • En Windows Server 2003 (modo de aislamiento de proceso de trabajo de IIS), la cuenta de servicio de red es el contexto de seguridad predeterminado.
    • En Windows Server 2003 (modo de compatibilidad de IIS5), la cuenta de máquina\ASPNET es el contexto de seguridad predeterminado.
    • En los controladores de dominio de Windows Server 2003, la cuenta de servicio de red es el contexto de seguridad predeterminado.
  • Los sistemas que tienen instalado Visual Studio .NET 2003 solo son vulnerables si IIS se instaló en el sistema cuando se instaló Visual Studio y si IIS todavía está instalado.

Outlook 2003 con Business Contact Manager

  • De forma predeterminada, el proceso de trabajo de IIS que hospeda el componente que se usa para aprovechar esta vulnerabilidad está configurado para ejecutarse en diferentes contextos de seguridad, según el sistema operativo y el rol de servidor. Todas estas cuentas son cuentas de tipo limitadas con acceso limitado a los recursos que están en el sistema.
  • Los sistemas que tienen Instalado Outlook 2003 con Business Contact Manager son vulnerables solo si IIS estaba presente en el sistema cuando se instaló Business Contact Manager.
  • Outlook con Business Contact Manager no forma parte de una instalación predeterminada de Outlook 2003, pero está disponible en un CD independiente, junto con Microsoft Office Small Business Edition 2003 y Microsoft Office Profesional Edition 2003.

Microsoft Business Solutions CRM 1.2

  • En Microsoft Business Solutions CRM 1.2, solo los usuarios autenticados pueden acceder a la interfaz web de Crystal Enterprise.

Soluciones alternativas para la vulnerabilidad de recorrido de directorio: CAN-2004-0204:

Microsoft ha probado las siguientes soluciones alternativas. Aunque estas soluciones alternativas no corregirán la vulnerabilidad subyacente, ayudan a bloquear vectores de ataque conocidos. Cuando una solución alternativa reduce la funcionalidad, se identifica a continuación.

  • Detener, deshabilitar o quitar IIS

    • Para detener IIS, emita el comando net stop w3svc en un símbolo del sistema.
    • Puede usar el Administrador de IIS para deshabilitar o detener IIS.
    • Puede usar la herramienta Agregar o quitar programas en Panel de control para quitar IIS del sistema. Para buscar IIS, haga clic en Agregar o quitar componentes de Windows.

    Impacto de la solución alternativa: si detiene w3svc, el sistema ya no puede proporcionar contenido web. Si detiene o quita IIS, el sistema ya no puede proporcionar contenido web, FTP o NTP. El servicio SMTP tampoco está disponible.

  • Para detener o pausar un sitio web mediante el Administrador de IIS

    • En el Administrador de IIS, haga clic con el botón derecho en el sitio que desea detener o pausar (en este caso, el directorio virtual crystalreportwebformviewer2) y, a continuación, haga clic en Detener o Pausar.

    Impacto de la solución alternativa: el sistema ya no proporcionará informes de Cristal a través de la interfaz web de Crystal.

  • Para detener o pausar un sitio web mediante un comando de línea de comandos

    • Haga clic en Inicioy, a continuación, haga clic en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
    • En el símbolo del sistema, escriba cscript iisweb.vbs/action "WebSiteName" y presione ENTRAR. Sustituya stop o pause para la acción. Sustituya el nombre real del sitio web (por ejemplo, "Sitio web predeterminado") por WebSiteName.

    Impacto de la solución alternativa: el sistema ya no proporcionará informes de Cristal a través de la interfaz web de Crystal.

  • Modifique el directorio virtual crystalreportwebformviewer2 para permitir solo el acceso autenticado y autorizado.

    • Use el Administrador de IIS para modificar el directorio virtual crystalreportwebformviewer2 y hacer que sea más restrictivo. Por ejemplo, puede permitir solo a los miembros del grupo Usuarios autenticados y no permitir el acceso anónimo.

      Impacto de la solución alternativa: el acceso anónimo al visor web de Crystal Reports ya no estaría disponible.

  • Restringir lalista de control deacceso (ACL) en el archivo de crystalimagehandler.aspx para permitir el acceso solo a usuarios autenticados y autorizados

    • IIS admite el control del acceso a directorios y archivos en un equipo local mediante todos los métodos de autenticación de Windows. Modifique la ACL en el archivo crystalimagehandler.aspx para que sea más restrictiva. Por ejemplo, puede permitir el acceso solo a un grupo limitado de usuarios autenticados.
    • Nota Debe usar esta solución alternativa junto con la solución alternativa "Modificar el directorio virtual crystalreportwebformviewer2 para permitir solo el acceso autenticado y autorizado".

    Impacto de la solución alternativa: solo los usuarios autenticados y autorizados podrán acceder al sitio web.

Preguntas más frecuentes sobre la vulnerabilidad de recorrido de directorio : CAN-2004-0204:

¿Cuál es el ámbito de la vulnerabilidad?
Existe una vulnerabilidad de recorrido de directorio en Crystal Reports y Crystal Enterprise de objetos empresariales que podrían permitir ataques de divulgación de información y denegación de servicio en un sistema afectado. Un atacante que aprovechara correctamente la vulnerabilidad podría recuperar y eliminar archivos a través de Crystal Reports y Crystal Enterprise Web Viewer en un sistema afectado.

De forma predeterminada, el proceso de trabajo de IIS en Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager que hospeda el componente que se usa para aprovechar esta vulnerabilidad está configurado para ejecutarse en diferentes contextos de seguridad, según el sistema operativo y el rol de servidor. Todas estas cuentas son cuentas de tipo limitadas con acceso limitado a los recursos que están en el sistema.

El acceso a la interfaz web de Crystal se limita a los usuarios autenticados de Microsoft Business Solutions CRM 1.2 a través de la pertenencia a grupos de usuarios de Windows. Durante la instalación inicial, puede elegir en qué contexto de seguridad se debe ejecutar el servidor CRM en: LocalSYSTEM, Network Service o un usuario de dominio. El valor predeterminado es LocalSYSTEM, que permitiría a los usuarios autenticados intentar este ataque contra un sistema en este contexto de seguridad.

¿Qué causa la vulnerabilidad?
Crystal Reports y Crystal Enterprise no validan correctamente la entrada antes de aceptar determinadas solicitudes HTTP.

¿Qué son Crystal Reports y Crystal Enterprise?
Crystal Reports y Crystal Enterprise son ofertas de software de Business Objects. Microsoft redistribuye una versión personalizada de Crystal Reports en Visual Studio .NET 2003 y en Outlook 2003 con Business Contact Manager. Microsoft redistribuye el SDK de Crystal Enterprise 9.0 en Microsoft Business Solutions CRM1.2.

¿Qué es Visual Studio .NET 2003?
Visual Studio .NET 2003 es una herramienta de desarrollo para compilar e integrar servicios web XML y otras aplicaciones. Redistribuye una versión personalizada del diseñador de informes incrustado de Crystal Reports, el motor en tiempo de ejecución y los visores de informes.

¿Qué es Outlook 2003 con Business Contact Manager?
Outlook 2003 with Business Contact Manager es un complemento de Outlook 2003 que se puede usar para administrar contactos empresariales en una solución de administración de contactos de un solo usuario. Está disponible en un CD independiente, junto con Microsoft Office Small Business Edition 2003 y Microsoft Office Profesional Edition 2003. Redistribuye el entorno de ejecución de Crystal Reports para Visual Studio .NET 2003.

¿Qué es Microsoft Business Solutions CRM 1.2?
Mediante el uso de clientes de CRM de Soluciones empresariales de Microsoft puede desarrollar relaciones de clientes a través de la administración de clientes potencial y oportunidad, la administración de incidentes, una base de conocimiento que se puede buscar y herramientas de informes. Microsoft Business Solutions CRM 1.2 redistribuye el SDK de Crystal Enterprise 9.0.

¿Qué podría hacer un atacante para usar la vulnerabilidad?
Un atacante que aprovechara correctamente la vulnerabilidad podría recuperar y eliminar archivos a través de la interfaz web Crystal Reports y Crystal Enterprise en un sistema afectado. Estos archivos tendrían que estar en una ubicación conocida y el contexto de seguridad del proceso de trabajo de IIS que ejecuta ASP.NET tendría que tener permisos de eliminación en el archivo.

Quién podría aprovechar la vulnerabilidad?
Para Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager, cualquier usuario anónimo o autenticado que pudiera acceder al visor web de Crystal Reports en el sistema afectado podría intentar aprovechar esta vulnerabilidad.

Para CRM 1.2, cualquier usuario autenticado que pudiera acceder al visor web de Crystal Enterprise en el sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar la vulnerabilidad?
Un atacante podría aprovechar la vulnerabilidad mediante la creación de una solicitud HTTP especialmente diseñada e intentar recuperar y eliminar archivos a través de los visores de Crystal Reports y Crystal Enterprise Web en un sistema afectado.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?
Los sistemas deben tener IIS instalado y habilitado para estar en riesgo en cualquiera de los escenarios siguientes.

  • Los sistemas que tienen instalado Visual Studio .NET 2003 solo son vulnerables si tenían IIS instalados cuando instalaron Visual Studio. Los componentes afectados forman parte de una instalación predeterminada de Visual Studio .NET 2003.
  • Los sistemas que tienen Outlook 2003 con Business Contact Manager solo son vulnerables si tenían IIS instalado cuando instalaron Business Contact Manager.
  • Los sistemas que tienen instalado Microsoft Business Solutions CRM 1.2 son vulnerables. Sin embargo, solo los usuarios autenticados pueden acceder a la interfaz web de Crystal Enterprise.

Uso microsoft Business Solutions CRM 1.2 Sales for Outlook Client. ¿Soy vulnerable?
No. Microsoft Business Solutions CRM 1.2 Sales for Outlook Client no se ve afectado por esta vulnerabilidad.

He usado Visual Studio .NET 2003 para crear una solución personalizada con Crystal Reports, ¿esa solución contiene la vulnerabilidad?
Es posible. Si usó el módulo de combinación Crystal_Managed2003.msm de Visual Studio .NET 2003 en la solución personalizada, es probable que sea vulnerable. Debe usar las soluciones alternativas y mitigaciones que se describen en este boletín y ver cómo se aplican a su solución personalizada específica.

He usado el módulo de combinación Crystal_Managed2003.msm de Visual Studio .NET 2003 para crear una solución personalizada con Crystal Reports, ¿cómo actualizo mi solución personalizada?
Debe visitar el sitio web de Business Objects y ver si su actualización de seguridad para las soluciones compiladas mediante Visual Studio .NET 2003 funcionará automáticamente. Dado que no hemos probado esta actualización con la solución personalizada, ni Microsoft ni Business Objects pueden garantizar la compatibilidad de la actualización con la solución personalizada. Se recomienda probar la actualización en un sistema que no sea de producción antes de aplicar la actualización a los sistemas que están en producción.

También debe aplicar la actualización de seguridad de Visual Studio al entorno de desarrollo y generar una nueva compilación de la solución personalizada para futuras implementaciones.

Estoy usando Visual Studio .NET 2003, pero nunca he tenido IIS instalado. ¿Debo instalar la actualización?
Sí. Aunque el sistema no es vulnerable, podría ser cualquier solución personalizada que pueda crear mediante el módulo de combinación Crystal_Managed2003.msm.

Uso Visual Studio .NET 2003, pero no tengo IIS instalado. ¿Soy vulnerable?
No.

¿Qué hace la actualización?
La actualización quita la vulnerabilidad modificando la forma en que Crystal Reports y Crystal Enterprise valida las solicitudes HTTP.

Cuando se emitió este boletín de seguridad, ¿Microsoft recibió informes de que esta vulnerabilidad se estaba explotando?
No. Microsoft no había recibido ninguna información que indique que esta vulnerabilidad se había usado públicamente para atacar a los clientes y no había visto ningún ejemplo de código de prueba de concepto publicado cuando se emitió originalmente este boletín de seguridad.

Información de actualización de seguridad

Plataformas de instalación y requisitos previos:

Para obtener información sobre la actualización de seguridad específica de la plataforma, haga clic en el vínculo adecuado:

Visual Studio .NET 2003

Requisitos previos
Esta actualización de seguridad requiere una versión de versión de Visual Studio .NET 2003.

Inclusión en Futuros Service Packs:
La actualización de este problema se incluirá en Visual Studio .NET 2003 Pack 1.

Información de instalación

Esta actualización de seguridad admite los siguientes modificadores de configuración:

/? Mostrar modificadores del instalador

/I Install (acción predeterminada)

/U Uninstall (si está instalado)

Modo silencioso /Q

/L:logfile Generar archivo de registro

Detalles del paquete de registro /Ld .

/Lp Registra productos afectados.

/Lf Log incluyó archivos.

/XP[:p ath] Extraer MSP.

Información de implementación

Para instalar la actualización de seguridad sin intervención del usuario, use el siguiente comando en un símbolo del sistema para Visual Studio .NET 2003:

VS7.1- KB 841870-X86.exe /q

Requisito de reinicio

Esta actualización de seguridad requiere un reinicio si el archivo que se está actualizando está en uso cuando se aplica la actualización al sistema.

Información de eliminación

Para quitar esta actualización, use la herramienta Agregar o quitar programas en Panel de control.

Información del archivo

La versión en inglés de esta actualización tiene los atributos de archivo (o posterior) que se enumeran en la tabla siguiente. Las fechas y horas de estos archivos se enumeran en la hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre hora UTC y hora local, use la pestaña Zona horaria de la herramienta Fecha y hora en Panel de control.

Visual Studio .NET 2003:

Date Time Version Size File name
-------------------------------------------------------------------------
12-May-04 20:56 9.1.9800.9 151552 CrystalDecisions.Web.dll
13-May-04 19:25 N/A 507392 Crystal_Managed2003.msm

Comprobación de la instalación de actualizaciones

Puede comprobar los archivos que ha instalado esta actualización de seguridad revisando las siguientes claves del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{981DFBF2-F25F-4C20-A2B3-AC64EAA6DD83}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Novedades\Visual Studio\7.1\M841870

Outlook 2003 con Business Contact Manager disponible por separado y como componente de Office 2003

Requisitos previos y detalles de actualización adicionales

Esta actualización de seguridad requiere una versión de lanzamiento de Outlook 2003 con Business Contact Manager. Además:

Debe tener Instalado Microsoft Windows Installer 2.0. Microsoft Windows Server 2003, Windows XP y Microsoft Windows 2000 Service Pack 3 (SP3) incluyen Windows Installer 2.0 o posterior.

Si tiene Instalado Office 2003, debe ejecutar Microsoft Windows 2000 Service Pack 3 (SP3), debe ejecutar Windows XP o debe ejecutar un sistema operativo posterior.

Nota Los sistemas que tienen Instalado Outlook 2003 con Business Contact Manager son vulnerables solo si IIS se instaló en el sistema cuando se instaló Business Contact Manager y si IIS todavía está instalado y habilitado.

Inclusión en Futuros Service Packs:

La corrección de este problema se incluirá en cualquier Service Pack futuro para Outlook 2003 con Business Contact Manager.

Requisito de reinicio

No es necesario reiniciar.

Información de eliminación

Después de instalar la actualización, no se puede quitar. Para revertir a una instalación antes de instalar la actualización, debe quitar la aplicación y, a continuación, instalarla de nuevo desde el CD-ROM original.

Información de instalación del cliente

Información de implementación de cliente

  1. Descargue la versión de cliente de esta actualización de seguridad.

  2. Haga clic en Guardar este programa en disco, seleccione una carpeta y, a continuación, haga clic en Aceptar.

  3. Haga clic en Guardar para guardar el archivo BusinessContactManager-kb842496-fullfile-enu.exe en el disco.

  4. Con el Explorador de Windows, busque en la carpeta que contiene el archivo guardado, haga doble clic en el archivo guardado y, a continuación, haga doble clic en BusinessContactManager-kb842496-fullfile-enu.exe para iniciar el programa de instalación.

    Siga las instrucciones que aparecen en la pantalla para completar la instalación.

  5. Haga clic en para aceptar el Contrato de licencia.

  6. Siga las instrucciones del Asistente para configuración de revisiones de Cristal BCM para completar la instalación.

  7. Abra Outlook 2003 y, a continuación, seleccione el perfil de Outlook que desea trabajar con business Contact Manager.

Nota Si la seguridad ya está instalada en el equipo, recibirá el siguiente mensaje de error: Esta actualización ya se ha aplicado o se incluye en una actualización que ya se ha aplicado.

Información del archivo de instalación del cliente

La versión en inglés de esta actualización tiene los atributos de archivo (o posterior) que se enumeran en la tabla siguiente. Las fechas y horas de estos archivos se enumeran en la hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre hora UTC y hora local, use la pestaña Zona horaria de la herramienta Fecha y hora en Panel de control.

Outlook 2003 con Business Contact Manager:

Date Time Version Size File name
--------------------------------------------------------
20-Oct-03 13:21 N/A 159,213 BCMHelp.chm
13-May-04 14:23 1.00.2002.7 26,112 Common.dll
12-May-04 13:56 9.01.9800.9 151,552 CrystalDecisions.Web.dll
27-Oct-03 15:48 1.00.2002.4 45,568 IrisMS32.dll
27-Oct-03 12:37 1.00.2002.4 876,544 Microsoft.BusinessSolutions.eCRM.OutlookAddIn.dll
27-Oct-03 12:37 1.00.2002.4 823,296 Microsoft.BusinessSolutions.eCRM.OutlookAddIn.CSUtils.dll
27-Oct-03 12:36 1.00.2002.4 397,312 Microsoft.Interop.Mapi.Impl.dll

Comprobación de la instalación de actualizaciones

Nota Dado que hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en el equipo. Si lo son, consulte la documentación del producto para completar estos pasos.

  1. Haga clic en Inicioy, a continuación, haga clic en Buscar.
  2. En la ventana Resultados de la búsqueda, haga clic en Todos los archivos y carpetas en Search Companion.
  3. En el cuadro Todo o parte del nombre de archivo, escriba un nombre de archivo de la tabla de información de archivo adecuada y, a continuación, haga clic en Buscar.
  4. En la lista de archivos, haga clic con el botón derecho en un nombre de archivo de la tabla de información de archivo adecuada y, a continuación, haga clic en Propiedades.
  5. En la pestaña Versión , determine la versión del archivo instalado en el equipo comparándolo con la versión que se documenta en la tabla de información de archivos adecuada.

Requisito de reinicio

Esta actualización de seguridad no requiere un reinicio.

Información de eliminación

Después de instalar la actualización, no se puede quitar. Para revertir a una instalación antes de instalar la actualización, debe quitar la aplicación y, a continuación, instalarla de nuevo desde el CD-ROM original.

Información de instalación alternativa

Puede automatizar parcialmente la instalación de esta actualización de seguridad mediante la siguiente información.

Información de instalación

Puede usar los siguientes modificadores de configuración para personalizar la forma en que se extraen los archivos de actualización de seguridad:

/? Muestra las opciones de la línea de comandos

/Q Especifica el modo silencioso o suprime las solicitudes cuando se extraen los archivos.

/T: <ruta de acceso> completa Especifica la carpeta de destino para extraer archivos.

/C Extrae los archivos sin instalarlos. Si no se especifica /T: ruta de acceso, se le pedirá una carpeta de destino.

/C: <Comando de instalación de invalidación de Cmd> definido por el autor. Especifica la ruta de acceso y el nombre del archivo setup .inf o .exe.

Para obtener más información sobre los modificadores de configuración admitidos, consulte el artículo de Microsoft Knowledge Base 197147.

Información de implementación

Para actualizar la instalación administrativa, siga estos pasos:

  1. Descargue la versión de cliente de esta actualización de seguridad.

  2. Haga clic en Guardar este programa en disco, seleccione una carpeta y, a continuación, haga clic en Aceptar.

  3. Haga clic en Guardar para guardar el archivo BusinessContactManager-kb842496-fullfile-enu.exe en el disco.

  4. Con el Explorador de Windows, busque la carpeta que contiene el archivo guardado y, a continuación, haga doble clic en el archivo guardado.

  5. Si se le pide que instale la actualización, haga clic en .

  6. Haga clic en para aceptar el Contrato de licencia.

  7. Rellene el cuadro Escriba la ubicación donde desea colocar los archivos extraídos y haga clic en Aceptar.

  8. Haga clic en cuando se le pida que cree la carpeta.

  9. Abra un símbolo del sistema y busque la carpeta que contiene los archivos extraídos.

  10. Ejecute el siguiente comando para realizar una instalación silenciosa de la actualización de seguridad:

    Msiexec /p [ruta de acceso al archivo MSP] /q

    Por ejemplo:

    Msiexec /p C:\temp\BusinessContactManager-FullFile-ENU.msp /q

Administración de relaciones con el cliente 1.2

Requisitos previos

Esta actualización de seguridad requiere Microsoft Business Solutions CRM 1.2.

Inclusión en Futuros Service Packs:

La actualización de este problema se incluirá en cualquier Service Pack futuro para Microsoft Business Solutions CRM 1.2.

Requisito de reinicio

No es necesario reiniciar.

Disponibilidad de actualización:

La actualización de los componentes de Crystal Enterprise de Business Objects que se incluyen en Microsoft Business Solutions CRM 1.2 está disponible en el sitio web de Business Objects .

Otra información

Confirmaciones

Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:

  • Objetos empresariales para trabajar con nosotros en la vulnerabilidad de recorrido de directorio (CAN-2004-0204).

Obtener otros Novedades de seguridad:

Novedades para otros problemas de seguridad están disponibles en las siguientes ubicaciones:

  • Las actualizaciones de seguridad están disponibles en el Centro de descarga de Microsoft: puede encontrarlos con más facilidad mediante una búsqueda de palabras clave para "security_patch".
  • Novedades para plataformas de consumidor están disponibles en Sitio web de Windows Update.

Soporte técnico:

  • Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. No hay ningún cargo por las llamadas de soporte técnico asociadas a las actualizaciones de seguridad.
  • Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. No hay ningún cargo por el soporte técnico asociado a las actualizaciones de seguridad. Para obtener más información sobre cómo ponerse en contacto con Microsoft para problemas de soporte técnico, visite el sitio web de soporte técnico internacional.
  • La compatibilidad con Microsoft Business Solutions CRM 1.2 está disponible a través de Soluciones empresariales de Microsoft. Las opciones de soporte técnico para los componentes Crystal Enterprise de Business Objects que se incluyen en Microsoft Business Solutions CRM 1.2 están disponibles en el sitio web de soporte técnico de Business Objects.

Recursos de seguridad:

Servicios de actualización de software:

Mediante el uso de Microsoft Software Update Services (SUS), los administradores pueden implementar de forma rápida y confiable las últimas actualizaciones críticas y actualizaciones de seguridad en servidores basados en Windows 2000 y Windows Server 2003 y en sistemas de escritorio que ejecutan Windows 2000 Professional o Windows XP Professional.

Para obtener más información sobre cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio web de Software Update Services.

Servidor de administración de sistemas:

Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para administrar las actualizaciones. Mediante SMS, los administradores pueden identificar sistemas basados en Windows que requieren actualizaciones de seguridad y realizar una implementación controlada de estas actualizaciones en toda la empresa con una interrupción mínima a los usuarios finales. Para obtener más información sobre cómo los administradores pueden usar SMS 2003 para implementar actualizaciones de seguridad, consulte el sitio web de administración de revisiones de seguridad de SMS 2003. Los usuarios de SMS 2.0 también pueden usar Software Novedades Service Feature Pack para ayudar a implementar actualizaciones de seguridad. Para obtener información sobre SMS, visite el sitio web de SMS.

Nota SMS usa el Analizador de seguridad de línea de base de Microsoft y la Herramienta de detección de Microsoft Office para proporcionar una amplia compatibilidad con la detección e implementación de actualizaciones del boletín de seguridad. Es posible que estas herramientas no detecten algunas actualizaciones de software. Administración istrators pueden usar las funcionalidades de inventario del SMS en estos casos para dirigir las actualizaciones a sistemas específicos. Para obtener más información sobre este procedimiento, consulte el siguiente sitio web. Algunas actualizaciones de seguridad requieren derechos administrativos después de reiniciar el sistema. Administración istrators pueden usar la Herramienta de implementación de derechos elevados (disponible en sms 2003 Administración istration Feature Pack y en sms 2.0 Administración istration Feature Pack) para instalar estas actualizaciones.

Renuncia:

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones:

  • V1.0 (8 de junio de 2004): Boletín publicado
  • V1.1 (16 de junio de 2004): se ha agregado información sobre el requisito de reinicio de la actualización de CRM 1.2 en la sección Información de actualización de seguridad.

Compilado en 2014-04-18T13:49:36Z-07:00