Αυτή η ενημερωμένη έκδοση επιλύει την ευπάθεια ασφαλείας "File Permission Canonicalization" (Κανονικοποίηση δικαιωμάτων αρχείων) στο Internet Information Server 4.0 (IIS 4.0) και το Internet Information Services 5.0 (IIS 5.0). Κάντε τώρα λήψη για να μην επιτρέψετε σε έναν κακόβουλο χρήστη να αποκτήσει δικαιώματα χρήσης των αρχείων του Internet Server Application Programming Interface (ISAPI) που φιλοξενούνται σε ένα διακομιστή Web. Αυτή η ευπάθεια δεν επηρεάζει τις στατικές ιστοσελίδες ούτε τύπους αρχείων που δεν σχετίζονται με το Web, όπως .exe, .doc ή .bat.

Ένα σφάλμα κανονικοποίησης μπορεί, υπό ορισμένες συνθήκες, να προκαλέσει την εφαρμογή λανθασμένων δικαιωμάτων σε ορισμένους τύπους αρχείων, εκ μέρους του IIS 4.0 ή του IIS 5.0. Εάν ένα αρχείο που επηρεάζεται βρίσκεται σε ένα φάκελο με περιοριστικά δικαιώματα και δοθεί αίτημα για το αρχείο μέσω ενός ιδιαίτερου τύπου ακατάλληλα διαμορφωμένης διεύθυνσης URL, τελικά χρησιμοποιούνται τα δικαιώματα ενός φακέλου στη γονική αλληλουχία φακέλων του αρχείου κι όχι τα δικαιώματα του φακέλου, μέσα στον οποίο βρίσκεται το ίδιο το αρχείο. Εάν τα δικαιώματα του φακέλου ανώτερου επιπέδου στην ίδια αλληλουχία είναι λιγότερο περιοριστικά από αυτά του σωστού φακέλου, ο κακόβουλος χρήστης μπορεί να αποκτήσει πρόσθετα δικαιώματα για το αρχείο που επηρεάζεται. Η εκμετάλλευση της ευπάθειας είναι δυνατή μόνο κάτω από πολύ συγκεκριμένες συνθήκες:

• Επηρεάζει μόνο δέσμες ενεργειών CGI και τύπους αρχείων που υλοποιούνται μέσω επεκτάσεων ISAPI. Δεν επηρεάζει τις στατικές ιστοσελίδες ούτε τύπους αρχείων που δεν σχετίζονται με το Web, όπως .exe, .doc ή .bat.
• Επηρεάζει μόνο όσους διακομιστές κάνουν διαθέσιμη δομή φακέλων Web η οποία είναι πιστή, καθρεπτική απεικόνιση της πραγματικής δομής φακέλων του διακομιστή.
• Δεν επιτρέπει την αυθαίρετη επιλογή δικαιωμάτων, παρά μόνο όσων δικαιωμάτων υφίστανται σε ένα φάκελο ανώτερου επιπέδου στην ίδια αλληλουχία.
• Δεν παρέχει τρόπο απαρίθμησης του διακομιστή και εντοπισμού όσων αρχείων ενδέχεται να επηρεάζονται από την ευπάθεια.

Για περισσότερες πληροφορίες σχετικά με αυτήν την ευπάθεια, διαβάστε το ενημερωτικό δελτίο ασφαλείας MS00-057 της Microsoft. (Τα περιεχόμενα αυτής της τοποθεσίας είναι στην αγγλική γλώσσα.)

• Windows 2000 Professional
• Windows 2000 Server
• Windows 2000 Advanced Server
• Internet Information Server 4.0
• Internet Information Services 5.0

1. Κάντε κλικ στο κουμπί Έναρξη (Start), τοποθετήστε το δείκτη στην επιλογή Ρυθμίσεις (Settings) και στη συνέχεια κάντε κλικ στην επιλογή Πίνακας Ελέγχου (Control Panel).
2. Κάντε διπλό κλικ στο εικονίδιο Προσθαφαίρεση προγραμμάτων (Add/Remove Programs).
3. Επιλέξτε Windows 2000 Hotfix (Pre-Sp2) [Ανατρέξτε στο άρθρο Q269862 για περισσότερες πληροφορίες] και κάντε κλικ στο κουμπί Αλλαγή/Κατάργηση (Change/Remove) για να καταργηθεί η εγκατάσταση.