Tämä päivitys korjaa Internet Information Server 4.0 (IIS 4.0)- ja Internet Information Services 5.0 (IIS 5.0) -ohjelmassa esiintyvän suojausongelman, joka liittyy tiedostojen käyttöoikeuksien sääntöjenmukaisuuteen. Lataamalla päivityksen nyt voit estää epärehellistä käyttäjää saamasta käyttöoikeutta Web-palvelimessa oleviin Internet Server Application Programming Interface (ISAPI) -tiedostoihin. Tämä suojausongelma ei vaikuta staattisiin Web-sivuihin tai muihin kuin Web-tiedostoihin, kuten .exe-, .doc- tai .bat-tiedostoihin.

Sääntöjenmukaisuusvirhe voi joissakin olosuhteissa aiheuttaa sen, että IIS 4.0- tai IIS 5.0 -ohjelma käyttää joidenkin tiedostotyyppien yhteydessä vääriä käyttöoikeuksia. Jos tiedosto on kansiossa, jossa on rajoitetut käyttöoikeudet, ja tiedostoa pyydetään tietyllä tavalla virheellisellä URL-osoitteella, oikeiden käyttöoikeuksien sijaan käytetään ylemmän kansion käyttöoikeuksia. Jos ylemmän kansion käyttöoikeudet ovat laajemmat kuin kansion omat käyttöoikeudet, epärehellinen käyttäjä voi saada liian laajat oikeudet käyttää tiedostoa. Tätä suojausongelmaa voidaan käyttää hyväksi vain hyvin tarkkojen ehtojen täyttyessä:

• Tämä suojausongelma vaikuttaa vain CGI-skripteihin ja tiedostotyyppeihin, joilla on ISAPI-tiedostotunniste. Ongelma ei vaikuta staattisiin Web-sivuihin tai muihin kuin Web-tiedostoihin, kuten .exe-, .doc- tai .bat-tiedostoihin.
• Ongelma vaikuttaa palvelimiin, joiden Web-kansiorakenne on sama kuin palvelimen fyysinen kansiorakenne.
• Käyttöoikeuksia ei voi valita vapaasti. Vain ylemmän kansion oikeuksia voi käyttää.
• Palvelimen sisältöä ei voi luetella eikä tiedostoja, joihin suojausongelma mahdollisesti vaikuttaa, voi etsiä.

Lisätietoja tästä suojausongelmasta on Microsoft Security Bulletin -tiedotteessa MS00-057. (Sivusto on englanninkielinen.)

• Windows 2000 Professional
• Windows 2000 Server
• Windows 2000 Advanced Server
• Internet Information Server 4.0
• Internet Information Services 5.0.

1. Napsauta Käynnistä-painiketta, valitse Asetukset ja valitse sitten Ohjauspaneeli.
2. Kaksoisnapsauta Lisää tai poista sovellus -kuvaketta.
3. Valitse Windows 2000 Hotfix (Pre-SP2) [lisätietoja on artikkelissa Q269862] ja poista asennus valitsemalla Muuta tai poista.