通过

安全公告

Microsoft 安全公告 MS01-021 - 严重

Web 请求可能会导致 ISA 服务器 Web 代理服务中的访问冲突

发布时间: 2001 年 4 月 16 日 |更新时间:2003 年 6 月 23 日

版本: 1.3

最初发布: 2001 年 4 月 16 日
更新时间: 2003 年 6 月 23 日

总结
谁应该阅读此公告:
使用 Microsoft® ISA Server 2000 的系统管理员。

漏洞的影响:
拒绝服务

建议:
已启用 ISA 服务器 Web 发布功能的系统管理员应立即应用修补程序。 未启用该功能的管理员管理员应考虑应用修补程序。

受影响的软件:

  • Microsoft ISA Server 2000

常规信息

技术详细信息

技术说明:

如果 ISA 服务器 Web 代理服务超过特定长度,则无法正确处理特定类型的 Web 请求。 处理此类请求将导致访问冲突,这将导致 Web 代理服务失败。 这会在服务重启之前中断所有启动和传出 Web 代理请求。

在大多数情况下,Internet 上的用户无法利用漏洞,因为 ISA 服务器将忽略外部请求,除非启用了 Web 发布功能。 但是,如果外部攻击者能够说服内部用户访问网页或打开 HTML 电子邮件,则可以嵌入利用网络内部漏洞的 URL。

缓解因素:

  • 默认情况下,Web 发布处于禁用状态。
  • 该漏洞不会使攻击者能够破坏防火墙的安全性,也就是说,它不会使攻击者能够访问受保护的资源或绕过防火墙。 它只会使攻击者能够拒绝向其他用户提供合法服务。
  • 该漏洞仅允许 Web 代理服务中断。 其他 ISA 服务将继续正常运行。

漏洞标识符:CAN-2001-0239

测试的版本:

Microsoft 测试了 ISA Server 2000 和代理服务器 2.0,以评估它们是否受此漏洞的影响。 以前的版本不再受支持,可能或可能不会受到此漏洞的影响。

常见问题解答

漏洞的范围是什么?
这是 拒绝服务 漏洞。 它可以让攻击者中断 ISA 服务器,从而阻止任何 Web 流量通过任一方向的防火墙。 防火墙内的攻击者可能会在任何条件下利用漏洞;防火墙外部的攻击者只能在启用 Web 发布功能时利用它,或者她能够说服内部用户打开她选择的 Web 内容。
该漏洞不允许攻击者侵占对防火墙的任何管理控制,也不允许攻击者破坏防火墙的安全性。 此外,该漏洞只会提供中断 Web 代理服务的方法 - 其他服务将继续运行。 可以通过重启 Web 代理服务来还原它。

导致漏洞的原因是什么?
由于 ISA Server 中的 Web 代理服务无法正确处理 Web 资源的特定类型的请求(如果它超过特定长度),则会导致漏洞。 如果收到此类请求,则 Web 代理服务将失败并发生访问冲突。

什么是 ISA 服务器?
Internet 安全性和加速 (ISA) 服务器提供企业防火墙和高性能 Web 缓存。 防火墙通过规范哪些资源可以通过防火墙访问,并在哪些条件下保护网络。 Web 缓存通过存储频繁请求的 Web 内容的本地副本来帮助提高网络性能。

什么是 Web 代理服务?
Web 代理服务允许通过防火墙发出 Web 请求。 当内部用户需要访问外部网站时,防火墙代表她发出请求,并在收到请求时向她提供内容。 这通过两种方式提高了安全性:它允许网络管理员规范哪些站点用户可以访问,并在用户访问网站时屏蔽用户的内部网络地址。
还可以将 Web 代理配置为提供“反向代理”服务。 这是通过 Web 发布功能完成的,如果启用此功能,则允许外部用户访问内部网站,而无需公开网站的实际地址。 默认情况下,Web 发布功能处于禁用状态。

Web 代理服务有什么问题?
如果 Web 资源超过特定长度,则它无法正确处理特定类型的请求。 如果收到此类请求,则会导致访问冲突,从而导致 Web 代理服务失败。

谁能提出这样的要求?
只要 Web 代理服务正在运行(默认情况下运行),任何内部用户都可以在此处征收请求类型。 如果启用了 Web 发布功能,外部用户可以对此类请求征税。

外部用户是否有其他方法来利用漏洞?
如果外部攻击者能够吸引或说服内部用户访问网页或打开 HTML 电子邮件,即使 Web 发布功能被禁用,她也有可能利用漏洞。 网页或 HTML 电子邮件可能包含上述类型的请求,因为它源自网络内部,因此即使 Web 发布被禁用,也可能利用漏洞。

攻击者可以通过此漏洞执行哪些操作?
攻击者可以使用此漏洞中断 Web 代理服务。 通过发送上述类型的 Web 请求,她可能会导致服务失败,从而阻止防火墙在任一方向传递任何 Web 请求。

如何还原正常服务?
管理员可以通过重启 Web 代理服务来还原正常服务。 不需要重新启动服务器。

此漏洞构成的威胁有多大?
这取决于 Web 发布功能是否已启用。 默认情况下,它已禁用,攻击者需要位于网络中以利用漏洞。 但是,如果已启用,则任何 Internet 用户都可以利用它。 显然,后者将构成更大的威胁。

攻击者是否可以利用漏洞控制 ISA 服务器?
否。 这只是拒绝服务攻击。 无法夺回任何管理特权。

攻击者是否可以使用漏洞来破坏防火墙的安全性?
否。 无法使用此漏洞降低防火墙提供的安全性。 它只能用于阻止 Web 代理服务传递任何数据。

修补程序的作用是什么?
修补程序通过导致 Web 代理服务正确地将问题请求视为无效来消除漏洞。

修补程序可用性

下载此修补程序的位置

有关此修补程序的其他信息
安装平台:

此修补程序可以安装在运行 ISA Server 2000 Gold 的系统上。

包含在将来的 Service Pack 中:

此问题的修补程序将包含在 ISA Server 2000 Service Pack 1 中。

取代的修补程序:

验证修补程序安装:

  • 若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FPC\Hofixes\63。
  • 若要验证各个文件,请使用知识库文章中提供的日期/时间和版本信息Q295279

注意:

本地化

此修补程序可以安装在 ISA Server 2000 的任何语言版本上。

获取其他安全修补程序:

可从以下位置获取其他安全问题的修补程序:

其他信息:
确认

Microsoft 感谢 理查德·雷纳博士、格雷厄姆·怀斯曼、马修·西门子和 FSC Internet Corp./SecureXpert 实验室的肯特·尼科森(https://www.fscinternet.com 为了向我们报告此问题,并与我们合作保护客户)。

支持

  • Microsoft 知识库文章Q295279讨论此问题,此公告发布后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
  • Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2001 年 4 月 16 日):公告已创建。
  • V1.1(2001 年 4 月 17 日):公告已更新,以解决外部攻击者可能通过网页或 HTML 电子邮件利用漏洞的可能性。
  • V1.2(2001 年 8 月 21 日):修补程序可用性部分已更新,建议已取代此处提供的修补程序。
  • V1.3(2003 年 6 月 23 日):更新了Windows 更新下载链接。

生成于 2014-04-18T13:49:36Z-07:00