通过

安全公告

Microsoft 安全公告 MS00-044 - 重要提示

可用于“缺席目录浏览器参数”漏洞的修补程序

发布时间: 2000 年 7 月 14 日 |更新时间:2001 年 1 月 30 日

版本: 1.1

最初发布: 2000 年 7 月 14 日

总结

Microsoft 发布了一个修补程序,用于消除 Microsoft® Internet Information Server 中的两个安全漏洞。 总之,漏洞可能允许恶意用户阻止 Web 服务器提供有用的服务,或从中提取某些类型的信息。

受影响的软件:

  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Server 5.0

常规信息

技术详细信息

技术说明:

此处存在两个漏洞:

  • “缺少目录浏览器参数”漏洞。 作为 IIS 3.0 的一部分安装的管理脚本,但在升级到 IIS 4.0 或 IIS 5.0 时保留的管理脚本无法正确处理缺少预期参数的情况。 缺少参数会导致脚本进入无限循环,此时脚本会消耗服务器上的所有 CPU 资源。 此外,此工具的权限以及 IIS 3.0 下适合的多个相关权限在 IIS 4.0 和 5.0 下是不适当的。 这可以让网站访问者使用这些工具,从而能够查看服务器上的目录结构。
  • “文件片段读取方式”上的新变体。HTR“漏洞。 Microsoft 安全公告 MS00-031 中讨论了此漏洞的原始版本。 新漏洞仅在可能被利用的特定方式(如原始版本)中不同,漏洞的影响是漏洞的片段。可以从服务器检索 ASP 和其他文件。 与原始版本一样,新变体的机制使得新变体的某些部分可能成为一个 。对恶意用户最感兴趣的 ASP 文件将被剥离。

Microsoft 认为,消除这些漏洞的最合适方法是删除 HTR 的脚本映射,如 IIS 4.0 安全清单中所述。 只有具有业务关键 HTR 脚本的客户才能保留功能并安装修补程序。

常见问题解答

此公告的内容是什么?
Microsoft 安全公告 MS00-044 宣布了修补程序的可用性,该修补程序可消除 Microsoft® Internet Information Server 中的两个漏洞。 Microsoft 致力于保护客户的信息,并提供公告,告知客户漏洞及其可执行的操作。

漏洞的范围是什么?
这是 拒绝服务 漏洞。 恶意用户可能会利用此漏洞来防止 IIS 服务器提供有用的服务。 此外,它还可以允许恶意用户查看 Web 服务器上的目录结构。 此漏洞仅影响从 IIS 3.0 升级的 IIS 4.0 或 IIS 5.0 计算机。 此修补程序还消除了前面讨论 的“通过文件片段读取”的新变体。HTR“ 漏洞。 与原始版本一样,此新变体可以允许读取服务器上的某些文件的某些部分,但不允许添加、删除或更改文件。 Microsoft 长期以来建议删除 HTR 文件的文件映射,并且这样做的客户不会受到任何漏洞的风险。 Microsoft 建议客户完全禁用 HTR 功能,作为第一选择;只有有令人信服的理由保留 HTR 功能的客户才能保留该功能并应用此修补程序。

这些漏洞彼此有何关联?
它们仅在涉及处理这一点的意义上是相关的。HTR 文件。

什么是 HTR?
HTR 是作为 IIS 2.0 的一部分交付的第一代高级脚本技术。 HTR 从未被广泛采用,主要是因为一项非常优越的技术,Active Server Pages()。ASP)是在 IIS 4.0 中引入的,在客户在 HTR 中投入了大量开发资源之前就很受欢迎。 目前最广泛的 HTR 技术的用法是在 IIS 中默认包含的 HTR 脚本集合中;这些方法使 IIS 能够通过 IIS Web 服务器提供 Windows NT 密码服务。 Windows NT 用户可以使用 .用于更改自己的密码的 HTR 脚本,管理员可以使用它们来执行各种密码管理功能。 有关这些脚本的详细信息,请参阅知识库文章 Q184619

是否可以禁用 HTR 功能?
是的。 Microsoft 长期以来建议(例如,在 IIS 4.0 安全清单Windows 2000 Internet Server 安全配置工具中),客户会考虑禁用 HTR 功能。 然而,在最近的审查之后,我们认为更有力的建议是有序的。 Microsoft 现在主张所有客户都删除 。HTR 脚本映射,除非它们没有业务关键的原因。 Microsoft 认为,对于大多数客户来说,保留此功能的风险大大超过了收益。 作为即时步骤,我们将很快提供一个工具,用于取消映射 HTR 并在服务器上消除所有 HTR 脚本。 作为一个长期步骤,我们希望在未来版本的 IIS 中完全放弃对 HTR 的支持。

为什么 Microsoft 强化了客户禁用 HTR 的建议?
从安全的角度来看,HTR 功能是一个麻烦的组件 - 其中发现了多个安全漏洞(请参阅 Microsoft 安全公告 MS99-019MS00-031)。 鉴于它很少使用,并且 Microsoft 最终打算完全淘汰它,Microsoft 认为,对于绝大多数客户来说,没有充分的理由保留该功能。 现在禁用该功能的客户无需应用任何涉及 HTR 功能的以前发布的修补程序,也不需要应用此处提供的修补程序,也不需要应用任何将来发布的修补程序。

如何实现禁用 HTR 功能?
只需要执行以下步骤即可:

  • 打开 Internet Services Manager
  • 右键单击 Web 服务器,然后选择“属性”,然后选择“主属性”,然后选择“WWW 服务”。
  • 依次选择“编辑”、“HomeDirectory”、“配置”
  • 删除 .HTR 条目

值得注意的是,除了。HTR,Microsoft 还建议删除其他几个所谓的脚本映射。 IIS 4.0 安全清单中 讨论了这些内容

什么是“缺少目录浏览器参数”漏洞?
在 IIS 3.0 中提供的默认 HTR 脚本(在升级到 IIS 4.0 和 IIS 5.0 时保留)中,有几个脚本允许网站管理员查看服务器上的目录。 其中一个脚本(如果没有预期参数调用)将进入一个无限循环,该循环可以使用系统的所有 CPU 可用性,从而阻止服务器响应服务请求。

受影响的服务器如何重新投入服务?
只需停止并重启 IIS 服务。 无需重新启动服务器。

此漏洞是否影响所有 IIS 4.0 和 IIS 5.0 系统?
否。 它仅影响从 IIS 3.0 升级的系统。 此处出现的管理脚本未安装为 IIS 4.0 或 5.0 的一部分,但如果已在早期 IIS 3.0 安装中存在,则会保留。

那么,如果我的 Web 服务器上从未有 IIS 3.0,我无法受到此漏洞的影响?
正确。 但是,请注意,“通过读取文件片段”的新变体。下面讨论的 HTR“漏洞会影响 IIS 4.0 和 5.0,无论是否已安装 IIS 3.0)。

是否有与此工具相关的其他问题?
是的。 此工具以及同一文件夹中的多个相关工具具有不适当的权限。 这可以允许用户访问受影响的网站来执行它们。

恶意用户可以使用这些工具做什么?
这些工具可用于查看 Web 服务器上的目录结构。 尽管它不允许用户在服务器上添加、更改或删除文件,但它可能是一个有用的侦查工具,因为它会让恶意用户确定服务器上可以找到某些文件的位置。

为什么工具的权限不正确?
在 IIS 3.0 中,HTR 脚本只能从服务器本身本地执行。 由于只有管理员才能在本地登录到 Web 服务器,因此脚本无需对用户进行身份验证,并且不需要限制谁可以执行这些服务器。 但是,IIS 4.0 引入了远程调用 HTR 脚本的功能。 这两个因素的组合-从 IIS 3.0 继承的松散权限,加上 IIS 4.0 下远程执行 HTR 脚本的能力 -- 导致了安全风险。 为了纠正此问题,Microsoft 建议客户在其服务器上的每个网站中增加 /scripts/iisadmin 文件夹的安全性,并且只允许管理员访问文件夹及其内容。 当然,只有在选择保留 HTR 功能时,才需要执行此步骤 -- 如果禁用 。HTR 功能将呈现不可操作的工具,并且权限将是一个毫无意义的问题。

“文件片段读取方式”的新变体是什么。HTR“漏洞?
Microsoft 安全公告 MS00-031 中讨论了此漏洞的原始版本。 新变体只是提供了一种额外的方法来利用相同的漏洞。

此漏洞允许恶意用户执行哪些操作?
Microsoft 安全公告 MS00-031 提供对漏洞及其构成风险的最佳描述。 但是,简言之,漏洞可能允许恶意用户从服务器请求文件,然后会像处理一样处理这些文件。HTR 文件。 这可能是该部分的结果。ASP 源代码将发送到恶意用户。 从理论上讲,这可能会公开包含在其中的敏感数据。ASP 文件。 然而,在实践中,这种情况不太可能发生。 HTR 处理倾向于删除对恶意用户最感兴趣的内容。 此外,如果遵循了最佳做法,则文件中不会有任何敏感信息,因此不会泄露任何敏感信息。

谁应该使用修补程序?
如上所述,Microsoft 建议客户完全删除 HTR 功能,除非需要此功能。 只有具有业务关键 HTR 脚本的客户才能保留 HTR 功能并应用修补程序。

修补程序的作用是什么?
该修补程序通过导致脚本正确处理缺失参数来消除“缺席目录浏览器参数”漏洞。 它消除了“通过文件片段读取”的新变体。HTR“漏洞,导致格式不正确的 URL 被拒绝。 请注意,即使在安装修补程序后,Microsoft 也建议客户加强对每个网站中 /scripts/iisadmin 文件夹的权限,以便仅允许管理员访问它。

如何实现使用修补程序?
知识库文章包含将修补程序应用到站点的详细说明。

在哪里可以获取修补程序?
安全公告的“修补程序可用性”部分提供了修补程序的下载位置。

如何判断是否正确安装了修补程序?
知识库提供修补程序包中文件的清单。验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件,并具有相同的大小和创建日期,如知识库(KB)文章中所示。

Microsoft 对此有何操作?

  • Microsoft 开发了一个消除漏洞的过程。
  • Microsoft 提供了一份 安全公告 和本常见问题解答,可让客户详细了解漏洞和消除漏洞的过程。
  • Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务,这是一项免费的电子邮件服务,客户可以使用该服务随时了解 Microsoft 安全公告。
  • Microsoft 发布了一 篇知识库文章 ,其中更详细地介绍了“缺少目录浏览参数”漏洞和过程。
  • Microsoft 发布了一 篇知识库文章 ,其中介绍了“通过文件片段读取”的新变体。HTR“漏洞更详细。

在哪里可以找到有关安全性的最佳做法的详细信息?
Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。

如何实现获得此问题的技术支持?
Microsoft 产品支持服务 可以协助解决此问题或任何其他产品支持问题。

修补程序可用性

下载此修补程序的位置

  • 此问题的修补程序已被随后作为 Microsoft 安全公告 MS01-004 的一部分发布的修补程序取代。

    注意: 只有对修补程序有业务关键需求的客户才能安装修补程序。HTR 功能。 Microsoft 建议所有其他客户禁用 。HTR 功能完全如常见问题解答中所述。

    注意: 选择安装修补程序的客户还应加强服务器上每个网站的 /scripts/iisadmin 文件夹的权限,并确保只有管理员才能访问它。

有关此修补程序的其他信息

安装平台:有关此问题的详细信息, 请参阅以下参考。

  • Microsoft 知识库(知识库(KB))文章Q267559,

    https:

  • Microsoft 知识库(知识库(KB))一文Q267560,

    </https:>https:

其他信息:

确认

Microsoft 感谢 以下客户与我们合作来保护客户:

  • Peter Grundl 向我们报告“缺席目录浏览器参数”问题
  • 左磊报告了“文件片段读取通过” 的新变体。HTR“漏洞对我们。

支持:这是完全支持的修补程序。 有关联系 Microsoft 产品支持服务的信息,请参阅 </https:>https:

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • 2000 年 7 月 14 日:公告已创建。
  • 2001 年 1 月 30 日:公告更新为建议 MS01-004 中提供的修补程序取代了最初在此处提供的修补程序。

构建于 2014-04-18T13:49:36Z-07:00</https:>