通过

安全公告

Microsoft 安全公告 MS01-026 - 严重

2001 年 5 月 14 日 IIS 累积修补程序

发布时间: 2001 年 5 月 14 日 |更新时间:2003 年 5 月 18 日

版本: 1.4

最初发布: 2001 年 5 月 14 日
更新时间: 2003 年 5 月 18 日

总结

谁应该阅读此公告:
使用 Microsoft® Internet Information Server 4.0 或 Internet Information Services 5.0 的系统管理员

漏洞的影响:
三个漏洞:代码执行;拒绝服务,信息泄露。

建议:
系统管理员应立即将修补程序应用到运行 IIS 4.0 或 5.0 的所有计算机。

受影响的软件:

  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0

常规信息

技术详细信息

技术说明:

此修补程序是一个累积修补程序,包括 IIS 5.0 迄今为止发布的所有安全修补程序的功能,以及自 Windows NT® 4.0 Service Pack 5 以来为 IIS 4.0 发布的所有修补程序的功能。 下面提供了此修补程序所取代的修补程序的完整列表,该部分标题为“有关此修补程序的其他信息”。 应用修补程序之前,系统管理员应注意同一部分中讨论的注意事项。

此修补程序还消除了三个新发现的漏洞:

  • 使攻击者能够在受影响的服务器上运行操作系统命令的漏洞。 当 IIS 收到运行脚本或其他服务器端程序的用户请求时,它会执行解码传递以规范形式呈现请求,然后在解码的请求上执行安全检查。 漏洞导致的原因是在安全检查完成后执行第二个多余的解码传递。 如果攻击者提交了一个特别构造的请求,则请求可以传递安全检查,但随后通过第二个解码传递映射到应阻止的请求-具体而言,它可以使请求执行虚拟文件夹结构外部的操作系统命令或程序。 这些操作将在IUSR_machinename帐户的安全上下文中执行,该帐户通过其成员身份在“每个人”组中的成员身份,将授予与在主机上以交互方式登录的非管理用户类似的攻击者功能。
  • 一个漏洞,可能会对 FTP 服务启用拒绝服务攻击。 在执行模式匹配时,处理 FTP 命令中的野生卡序列的函数并不总是分配足够的内存。 在异常情况下,攻击者可能会使用包含野生卡序列的 FTP 命令,当展开时,可能会超过分配的内存并导致访问冲突。 这将导致 IIS 服务(同时提供 Web 和 FTP 功能)失败。 因此,此时所有正在进行的 Web 或 FTP 会话都将被切断,在 IIS 服务重新启动之前,无法建立任何新会话。 在 IIS 5.0 中,服务将自动重启。 在 IIS 4.0 中,需要操作员干预才能重启服务。
  • 攻击者更容易找到无意中通过 FTP 公开的来宾帐户的漏洞。 根据设计,如果用户希望使用域用户帐户(而不是本地用户帐户)登录到 FTP 服务器,则应在它前面加上域的名称。 但是,如果攻击者在帐户名称前面有一组特定的字符,则 FTP 服务会搜索该用户帐户的域和所有受信任的域。 需要启用该帐户,攻击者仍需要知道正确的密码才能登录到该帐户。 出于所有实际目的,这会限制攻击者攻击来宾帐户,因为它是唯一具有已知帐户名称和已知默认密码的帐户。

该修补程序还更正了前面三个修补程序中的错误:

  • 最初在 Microsoft 安全公告 MS00-060 中提供的修补程序已成功消除该漏洞,但创造了一个机会,导致服务器花费大量时间处理特定类型的无效请求。
  • 最初在 Microsoft 安全公告 MS01-014MS01-016 (取代了 MS01-014)中提供的修补程序成功地消除了问题中的漏洞,但通过内存泄漏创建了潜在的拒绝服务条件。

缓解因素:

IIS 漏洞:

  • 该漏洞没有为攻击者提供一种方法来了解服务器上的文件夹结构。 因此,如果操作系统安装在独立于 Web 根或非标准文件夹中的驱动器上,则它可能会阻止攻击者查找感兴趣的程序。
  • 该漏洞不提供对服务器的管理访问权限。 如果遵循 IIS 4.0 和 IIS 5.0 安全检查列表中的建议,则敏感程序将被移动到只能由 管理员istrator 访问的文件夹,并且对服务器资源的非管理访问将受到严重限制。

FTP 拒绝服务漏洞:

  • 攻击者需要能够启动 FTP 会话才能利用漏洞。

FTP 用户帐户漏洞:

  • 仅当 FTP 服务器是域成员时,才能利用该漏洞。 但是,这通常不适用于连接 Internet 的 FTP 服务器。
  • 仅当本地计算机上的来宾帐户已禁用,但启用了受信任域上的来宾帐户时,才能利用该漏洞。 默认情况下,来宾帐户在 Windows NT 4.0 和 Windows 2000 中处于禁用状态。

漏洞标识符:

测试的版本:

Microsoft 测试了 IIS 4.0 和 IIS 5.0,以评估它们是否受这些漏洞的影响。 以前的版本不再受支持,可能会或不受这些漏洞的影响。

常见问题解答

“技术详细信息”部分表示这是累积修补程序。 这是什么意思?
通常,安全修补程序仅解决新发现的安全漏洞。 但是,此修补程序不仅解决了三个新发现的漏洞,还包括几乎所有以前发布的 IIS 4.0 和 IIS 5.0 修补程序。

为何要发布累积修补程序?
Microsoft 了解到,如果客户安装在需要这些修补程序的计算机上安装,并且我们希望尽可能轻松地实现此要求,Microsoft 才能够保护客户。 作为简化安全修补程序管理的持续努力的一部分,我们将尽可能部署累积修补程序。

此修补程序中捆绑了哪些以前发布的修补程序?
IIS 4.0 修补程序包含为 IIS 4.0 提供的所有 Service Pack 5 修补程序的功能。 IIS 5.0 修补程序包含为 IIS 5.0 提供的所有修补程序的功能。 公告的标题为“有关此修补程序的其他信息”部分中提供了此修补程序的完整列表。

是否有任何安全漏洞会影响此修补程序未解决的 IIS 4.0?
是的。 两个以前发布的公告讨论了影响 IIS 4.0 的漏洞,这些漏洞无法通过代码更改消除。 相反,他们需要某种管理操作。 即使已安装此累积修补程序,管理员仍需确保他们已执行以下公告中讨论的管理操作:

  • Microsoft 安全公告 MS99-025 (讨论与 Microsoft 安全公告 MS98-004 相同的问题)。 在这种情况下,管理操作是卸载或重新配置 Microsoft 数据访问组件,默认情况下可通过 Web 服务访问这些组件。
  • Microsoft 安全公告 MS99-013。 在这种情况下,管理操作是确保生产计算机上不存在示例文件(默认情况下未安装在 IIS 中)。

是否有任何影响 IIS 5.0 的安全漏洞未通过此修补程序解决?
否。 在 IIS 5.0 中识别到的所有安全漏洞都由代码更改而不是管理操作来解决,修补程序包括所有这些漏洞。

如果我在 Web 服务器上安装此修补程序,这是否意味着它是安全的?
否。 在安全修补程序上保持最新状态是确保服务器安全的重要步骤,但它本身是不够的。

  • 该修补程序不包含任何以前发布的操作系统修补程序。 即使在应用此修补程序后,也需要确保已安装适用于 Windows NT 4.0 和 Windows 2000 的所有适当修补程序。
  • 即使其中一些修补程序通常安装在 Web 服务器上,该修补程序也不会包含以前发布的非 IIS 产品的修补程序。 具体而言,此修补程序不包括任何以前发布的前端服务器扩展或索引服务器的修补程序。 下面提供了这两种产品的修补程序列表,下面列出了“有关此修补程序的其他信息”中的注意事项。
  • 即使应用了所有所需的修补程序,Web 服务器仍需要为其角色进行适当配置,也就是说,需要将其配置为提供服务,而不需要提供其他修补程序。 Microsoft TechNet 安全网站包含的信息,以安全工具和检查列表、白皮书和其他安全资源的形式帮助你执行此操作。 此外,Microsoft Press 还发布了许多讨论 IISWindows 2000 安全性和安全性的书籍,这些书籍适用于 基于 Web 的应用程序

修补程序解决了哪些新的安全漏洞?
新发现的漏洞包括:

  • 使攻击者能够在 Web 服务器上执行操作系统命令的漏洞。
  • 使攻击者能够阻止 FTP 服务器执行有用工作的漏洞。
  • 利用漏洞,攻击者可以通过 FTP 更轻松地访问配置不佳的网络。

此外,该修补程序为 Microsoft 安全公告 MS00-060MS01-014MS01-016 中讨论的问题提供了新的修补程序。

第一个漏洞的范围是什么?
此漏洞将使恶意用户能够在受影响的 Web 服务器上执行操作系统命令。 这使他能够修改网页、添加、更改或删除文件、重新格式化硬盘驱动器或采取其他操作,包括将所选代码上传到服务器和执行它。 最佳做法(如果遵循)可能会使攻击者难以或不可能利用漏洞。 即使攻击者成功利用了它,该漏洞也不会授予他对服务器的管理控制,而是授予他通常为可以以交互方式登录服务器的用户保留的权限。 然而,即使是这些特权也会使恶意用户能够造成广泛的损害,并可能给他一个点,从中启动额外的攻击,希望获得额外的特权。

导致漏洞的原因是什么?
由于处理在服务器上运行程序的请求的功能中出现错误,导致漏洞。 多余的解码操作可能使攻击者有机会绕过安全检查并转义服务器的虚拟文件夹结构,从而使他能够在服务器上运行操作系统命令。

当你说问题涉及 IIS 如何处理在服务器上运行程序的请求时,你意味着什么?
网站经常托管可由访问者运行的程序。 在某些情况下,网站的访问者直接运行此类程序,但通常由网页代表访问者调用这些程序。 发生安全漏洞的原因是 IIS 处理运行此类程序的请求的方式。 具体而言,IIS 在处理这些请求时执行额外的不需要的解码操作。

解码操作意味着什么?
有时,对 Web 服务器的请求需要包括标点符号、空格、制表符等字符。 使用此类字符会使请求的征税复杂化,因为这些字符可能具有特殊含义。 例如,根据上下文,空格字符可以是参数的一部分,也可以是参数之间的分隔符。 必须有一种方法来明确指示如何使用此类字符。 这通常通过“转义”特殊字符在参数中执行时实现。 转义字符在十六进制中指定 -- 例如,空格字符的转义版本为“%20”。 当 IIS 收到此类请求时,它需要将其呈现为不包含转义符或其他特殊字符的标准化形式。 因此,它执行解码操作,除其他操作外,“unescapes”任何转义字符。 解码操作完成后,IIS 会针对解码的请求执行安全检查。

解码操作有什么问题?
解码操作本身没有任何问题。 此漏洞会导致漏洞,因为在完成请求的安全检查后,通过实现缺陷,解码操作将再次执行。

为什么这会导致安全漏洞?
安全检查可以批准请求,然后由多余的解码操作转换为应该被阻止的请求。 具体而言,可以绕过旨在防止请求引用网站虚拟文件夹结构外部的程序的检查。

什么是虚拟文件夹结构?
虚拟文件夹结构是一组显示在网站上的文件夹。 此处的重要词是“显示”。 无论网站是通过多台计算机的协同工作创建的,还是由单个计算机托管的多个网站之一,它始终提供它只是包含 Web 内容的单个计算机的外观。 虚构计算机上的文件夹集称为虚拟文件夹结构。 公开虚拟文件夹结构(而不是服务器上的实际文件夹结构)有两个用途。 首先,支持网站作为单台计算机的理想化概念至关重要。 其次,它会隐藏用户不应访问的操作系统和其他命令。 此漏洞带来的风险在于,它提供了一种方法来转义虚拟文件夹结构,并访问位于虚拟文件夹外的服务器上的操作系统命令或其他程序。

此漏洞会使攻击者能够执行哪些操作?
通过创建特殊形式的请求并将其发送到受影响的服务器,攻击者可能会导致 IIS 在虚拟文件夹结构之外运行程序,例如操作系统命令。

如果恶意用户确实利用了漏洞,则会在哪些安全上下文中执行操作系统命令?
操作系统命令将在用户向网站进行身份验证的安全上下文中执行。 在绝大多数情况下,这意味着命令将在内置IUSR_machinename帐户下执行。 这是代表匿名访问者访问网站的帐户。 公共网站很少允许用户向除IUSR_machinename以外的用户帐户进行身份验证,但如果发生这种情况,操作系统命令会使用用户向其进行身份验证的帐户的权限执行。 例如,假设网站管理员创建了名为 Joe 的用户帐户,并将恶意用户作为 Joe 向网站进行身份验证。 如果随后他利用了漏洞,操作系统命令将在 Joe 帐户的安全上下文中执行。

IUSR_machinename帐户有哪些特权?
IUSR_machinename帐户在 IIS 下拥有相对较少的特权 - 它只有可供访问网站的访问者接受的特权。 但是,危险在于漏洞使恶意用户能够从 IIS 强制实施的约束中逃脱出来,并直接在操作系统级别工作。 从本质上讲,获取在IUSR_machinename帐户的安全上下文中执行操作系统命令的能力将授予恶意用户与通常可供本地登录计算机的用户相同的特权。 默认情况下,这将允许他读取和写入文件、重新格式化硬盘驱动器、更改网页以及执行其他操作。 此外,它还允许他将其他软件上传到计算机并执行它-因此,他获得了将代码作为IUSR_machinename运行的能力,他可能会尝试利用此访问权限来获得额外的特权。

此漏洞是否会使恶意用户完全控制计算机?
否。 IUSR_machinename帐户无法访问许多重要的文件和工具。 例如,winnt\repair 文件夹中系统文件的备份副本(包括安全帐户管理器文件(sam._)仅可供管理员访问,无法通过此漏洞获取。 同样,本地用户和组管理单元等工具需要管理权限才能执行。 但是,如上所述,即使是在IUSR_machinename帐户下运行操作系统命令的能力也会给恶意用户带来重大损害的机会,并可能给他一个海滩头,从中执行其他攻击并尝试获得额外的特权。

利用此漏洞是多么困难?
这取决于两个可能因网站而异的因素。 首先,攻击者需要能够找到想要通过漏洞运行的操作系统命令和程序。 漏洞不会为攻击者提供任何方法来了解服务器上的实际文件夹结构。 当然,默认文件夹结构是众所周知的,因此攻击者在此类情况下查找程序相对容易。 但是,即使是相对简单的步骤(例如,将 Web 服务器安装在与操作系统不同的驱动器上或在非标准位置安装操作系统文件)也可能会导致攻击者难以或不可能找到感兴趣的程序。 其次,即使攻击可以找到这些文件,他也需要权限才能执行这些文件。 如果管理员已按照 IIS 4.0 和 5.0 安全检查列表中的建议进行操作,并且已将关键操作系统命令移到了单独的目录,并使其仅可供管理员访问,则攻击者将无法执行它们。

修补程序如何消除此漏洞?
该修补程序通过在完成所有转换步骤后才导致安全检查来消除漏洞。

第二个漏洞的范围是什么?
第二个 漏洞是拒绝服务 漏洞。 通过在 FTP 会话中输入特定类型的无效命令,攻击者可能会导致服务器上的所有 Web 服务失败。 无法通过此漏洞在服务器上添加、更改或删除数据,或强制获取任何管理权限。 在运行 IIS 5.0 的服务器上,服务会自动重启自身;在 IIS 4.0 系统上,操作员需要重启服务以还原正常操作。

导致漏洞的原因是什么?
问题是由于模式匹配函数中至少有一个 FTP 命令使用的缺陷造成的。 根据输入的野生卡序列以及服务器文件系统的特定配置,生成的模式可能会超过可用内存并触发访问冲突。 这反过来会导致 IIS 服务失败。

模式匹配函数的含义是什么?
通过“模式匹配函数”,我们是指提供对文件名中野生卡的支持的函数。 与许多操作系统和应用程序一样,FTP 使用户能够使用星号和问号等卡字符来扩展命令以对文件组而不是单个文件进行操作。 所有命令都使用单个模式匹配函数来扩展野生卡并将结果模式与它们匹配的文件名匹配。 此漏洞是由于此函数存在缺陷而产生的。

模式匹配函数有什么问题?
该函数分配用于扩展野生卡序列并标识匹配项的内存。 但是,在某些情况下,它未分配足够的内存,生成的匹配集可能会溢出存储,从而导致访问冲突。 这反过来又会导致 IIS 服务失败。 值得注意的是,缺陷并不在所有情况下都表现出来。 在绝大多数情况下,函数正确分配内存。 它仅在某些条件下分配不足的内存。 即使分配的内存不足,访问冲突也仅在使用特定的 wild卡 序列时才发生。

这听起来类似于缓冲区溢出漏洞。 是吗?
尽管它涉及内存中存储区域溢出的数据,但这不是 缓冲区溢出。 除了中断 IIS 服务之外,它不能用于运行代码或采取任何其他操作。

如果发生访问冲突,会发生什么情况?
访问冲突将导致 IIS 服务失败。 这将导致所有 FTP 会话丢失,并会阻止建立新会话,直到服务重启为止。 如果服务器还提供 Web 服务,也会中断这些服务。 对于 IIS 5.0 服务器,服务几乎会立即自动恢复;对于 IIS 4.0 服务器,管理员需要重启 IIS 服务以恢复正常的 FTP 和 Web 服务。

攻击者如何利用此漏洞?
攻击者可以使用此漏洞故意干扰 FTP 服务器的操作。 通过启动与受影响服务器的 FTP 会话,然后输入包含正确野生卡序列的命令,攻击者可能会强制 IIS 服务失败。

是否有任何障碍会使利用这种漏洞变得困难?
是的。 如果攻击者可以在受影响的服务器上启动 FTP 会话,则攻击者只能利用漏洞。 许多 FTP 服务器提供匿名访问,但管理员可以根据需要限制此访问。 当然,如果 遵循了安全管理的最低特权 原则,则可以访问服务器的人员列表将尽可能小。

修补程序的作用是什么?
修补程序通过在此处导致模式匹配函数正确分配内存来消除漏洞。 这可以防止发生访问冲突。

第三个漏洞的范围是什么?
第三个漏洞是信息泄露漏洞。 这不会给攻击者一种执行他无法执行的任何操作的方法,但这将使他更容易利用配置错误的网络。 在最坏的情况下,该漏洞可以帮助攻击者获取对域帐户的访问权限。 该漏洞存在许多重大限制:

  • 攻击者需要知道帐户的正确密码。 默认情况下,最可能受影响的帐户 -- 来宾帐户 - 已禁用。
  • 仅当系统管理员将 FTP 服务器设为域成员时,才能利用该漏洞。 但是,这很少适用于 FTP 服务器。

导致漏洞的原因是什么?
漏洞结果是因为,如果用户登录到受影响的 FTP 服务器时以特定方式指定了 userid,则系统会自动搜索所有受信任的域以获取与其匹配的 userid。 如果找到 userid 并提供正确的密码,系统将允许用户正常登录。

你对受信任的域意味着什么?
Windows NT 和 Windows 2000 中的域可以进入信任关系,以便允许一个域中的用户访问另一个域中的资源。 例如,域 A 的管理员可能同意信任域 B,从而允许域 B 中的用户访问和使用域 A 中的服务器、文件和其他资源。这称为信任关系,因为域 A(信任域)在为用户标识提供担保时同意信任域 B(受信任域)。

这与 FTP 有什么关系?
域信任对 FTP 很重要,因为它们会影响谁可以登录到 FTP 服务器。 用户始终可以通过本地服务器本身的用户帐户登录到 FTP 服务器。 但是,如果服务器是域成员,用户还可以通过其中一个域用户帐户登录到服务器。 最后,如果服务器是信任另一个域的域的成员,则用户可以通过某个受信任的域的用户帐户登录到服务器。 当然,用户需要知道他想要登录的任何用户帐户的密码。

服务器如何知道是将用户登录到本地用户帐户还是域帐户?
这取决于用户输入帐户名的方式。 如果他本身只输入了帐户名(例如“John”),服务器将尝试使用本地帐户登录到服务器。 如果想要登录到域帐户,则用户需要用域名(例如 DomainA\John)为用户帐户名称加上前面。

用户是否有办法确定哪些帐户可用?
根据设计,用户不应确定本地计算机上、计算机所属域中或任何受信任域中存在哪些帐户。 用户应该已经知道用户帐户名称和域名才能开始登录过程。 此漏洞不会消除此安全措施,但它确实会削弱它。

漏洞是什么?
如果用户输入以特定字符集开头的用户帐户名称,则 FTP 服务不需要用户提供帐户所属的域的名称。 相反,它将搜索服务器的域及其信任的所有域,以获取与用户输入的用户名匹配的用户帐户名。 如果找到一个帐户,并且用户输入该帐户的正确密码,则会将他登录到服务器。

这有什么不好的? 毕竟,用户确实知道密码。 用户不应在不知道并指定域名的情况下登录到域用户帐户。 当然,攻击者始终可以进行暴力攻击,只需尝试每个可能的域名和用户帐户名称。 但是,此漏洞显然会使攻击更加容易。

但是,用户仍然需要知道或猜测有效的域用户帐户的名称,对吗?
正确,因此,此漏洞可能仅在几个方案中有用。 具体而言,它有助于装载涉及来宾帐户的攻击,因为该帐户既具有已知帐户名,又具有已知密码。 如果启用,来宾帐户的默认密码为空。 若要查看为什么这会为攻击者提供优势,假设 FTP 服务器是信任其他 20 个域的域的成员,并且假设 Domain15 中的来宾帐户无意中已启用。 如果攻击者输入“Guest”作为帐户名称(当然,由正确的字符开头),则此漏洞将导致 FTP 服务搜索所有受信任的域,然后将用户登录到 Domain15\Guest。 输入空白密码后,攻击者将获取对 Domain15\Guest 帐户的访问权限。

但假设本地计算机上的来宾帐户已禁用。 那么呢?
它不会阻止攻击者登录到 Domain15\Guest。 但是,此问题有一个方面值得考虑。 如果已启用本地计算机上的来宾帐户,则无法利用该漏洞,因为 FTP 服务会尝试将攻击者登录到本地来宾帐户。

但是,如果我启用本地来宾帐户,我仍然会向不受信任的用户授予对服务器的访问权限,我不会吗?
实际上,你不会。 即使启用了 FTP 服务,FTP 服务也不会允许登录到本地来宾帐户。 换句话说,如果启用了本地来宾帐户,则会阻止攻击者利用此漏洞,但仍不允许他登录到本地来宾帐户。 当然,防止漏洞的最佳方法是应用修补程序。

如果攻击者利用了此漏洞并获得了对域来宾帐户的访问权限,攻击者该怎么办?
这取决于帐户在域上授予的权限。 在上面的示例中,攻击者能够执行允许域 15\来宾帐户执行的任何操作。 通常,来宾帐户具有很少的权限,但它是“每个人”组的成员,因此可以查看、添加或更改某些文件。

假设 Domain15\Guest 帐户已配置为具有非空白密码。 那么呢?
除非他知道密码,否则攻击者无法登录。 此漏洞中没有任何内容允许攻击者了解帐户的密码。 事实上,这就是为什么我们专注于来宾帐户的讨论 - 这是少数几个,如果启用,有一个已知的默认密码。

FTP 服务器受到此漏洞的影响的可能性有多大?
正确配置的服务器不太可能受到漏洞的影响。

  • 很少适合将 FTP 服务器作为域成员。 FTP 服务器通常部署在公开的位置,因此最好将它们配置为独立计算机。
  • 网络中受信任的域数应尽可能小。 上面给出的示例,其中一个域信任另外 20 个域,是配置不当的体系结构的示例。
  • 默认情况下,来宾帐户处于禁用状态。 除非某个受信任域的管理员故意启用它,否则用户无法登录它。

修补程序的作用是什么?
修补程序将 FTP 服务返回到其按设计操作,并使其仅在正确指定域名时将用户登录到域帐户。

为什么 Microsoft 安全公告 MS00-060、MS01-014 和 MS01-016 中讨论的问题需要新的修补程序?
这些公告中提供的修补程序确实消除了漏洞,但它们包含错误,在某些情况下可能会打开服务器以 拒绝服务 攻击。

Microsoft 安全公告 MS00-060 中提供的漏洞的原始修补程序有什么问题?
Microsoft 安全公告 MS00-060 中提供的修补程序可阻止 跨站点脚本漏洞 ,方法是搜索任何可能指示 HTML 代码已包含在服务器请求中的字符序列,并将其替换为无害文本。 但是,可以滥用执行搜索的算法,并导致它在服务器上暂时消耗过多的资源。 这会阻止服务器及时响应其他请求。

Microsoft 安全公告 MS01-014 和 MS01-016 中提供的漏洞的原始修补程序有什么问题?
Microsoft 安全公告 MS01-014MS01-016 中提供的修补程序会按预期消除漏洞,但引入了内存泄漏条件,使攻击者能够逐渐耗尽服务器上的可用内存,使其变得无响应。

新修补程序的作用是什么?
新修补程序只需返回错误,而不是尝试更正输入,即可更正 MS00-060 修补程序中的错误。 这是一个适当的响应,因为输入无效。 它通过消除内存泄漏来更正 MS01-014 和 MS01-016 修补程序中的错误。

修补程序可用性

下载此修补程序的位置

有关此修补程序的其他信息

安装平台:

  • IIS 4.0 修补程序可以安装在运行 Windows NT 4.0 Service Pack 5 或 Windows NT 4.0 Service Pack 6a 的系统上。
  • IIS 5.0 修补程序可以安装在运行 Windows 2000 Gold、Windows 2000 Service Pack 1 和即将推出的 Windows 2000 Service Pack 2 的系统上。

包含在将来的 Service Pack 中:

此问题的修补程序将包含在即将推出的 Windows NT 安全汇总和 Windows 2000 Service Pack 3 中。

取代的修补程序:

验证修补程序安装:

  • IIS 4.0:
    • 若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q295534。
    • 若要验证各个文件,请参阅知识库文章Q295534中的文件清单。
  • IIS 5.0:
    • 若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP2\Q293826。
    • 若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP2\Q293826\Filelist。

注意:

  • 修补程序中不包括影响 IIS 4.0 服务器的四个漏洞,因为它们需要管理操作,而不是软件更改。 管理员管理员应确保除了应用此修补程序外,他们还采取了以下公告中讨论的管理操作:
  • 修补程序不包括涉及非 IIS 产品的漏洞修复,例如 Front Page Server Extensions 和 Index Server,即使这些产品与 IIS 密切相关,并且通常安装在 IIS 服务器上。 在撰写本文时,讨论这些漏洞的公告包括:
  • IIS 5.0 服务器上禁用 WebDAV 的客户应确保在安装修补程序之前重新启用它,以确保安装了更新版本的 httpext.dll。
  • 使用 IIS 4.0 的客户应确保在安装此或任何安全修补程序之前遵循正确的 安装顺序
  • 此修补程序的当前版本的副作用是,它通过 FTP 和 W3SVC(例如userid@domain)禁用 UPN 样式的登录。 知识库文章Q299273提供有关此问题的其他详细信息
  • 如果首先在安装了 Windows NT 4.0 的单个处理器的计算机上安装 IIS 4.0 修补程序,则需提前将硬件升级到多处理器。 Microsoft 知识库 Q168132中讨论了设置过程。 如果应用 IIS 5.0 修补程序,则不需要此设置。

本地化

可从标题为“修补程序可用性”的部分中列出的下载位置获取此修补程序的本地化版本。

获取其他安全修补程序:

可从以下位置获取其他安全问题的修补程序:

  • 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
  • WindowsUpdate 网站提供了使用者平台的修补程序。

其他信息:

确认

Microsoft 感谢 以下人员与我们合作来保护客户:

支持

  • Microsoft 知识库文章Q293826、Q295534、Q294370和Q288855讨论此问题,将在发布本公告后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
  • Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2001 年 5 月 14 日):公告已创建。
  • V1.1(2001 年 5 月 15 日):警告部分更新为建议客户禁用 WebDAV 将阻止修补程序更新httpext.dll,并建议修补程序通过 FTP 禁用 UPN 样式登录。
  • V1.2(2001 年 5 月 31 日):警告部分已更新,以阐明通过 FTP 和 W3SVC 对 UPN 样式登录的影响。
  • V1.3(2001 年 8 月 20 日):公告已更新,表明此处提供的修补程序被 MS01-044 中提供的修补程序取代。
  • V1.4(2003 年 5 月 18 日):更新了指向Windows 更新的下载链接。

生成于 2014-04-18T13:49:36Z-07:00