עדכון זה פותר את בעיית האבטחה "File Permission Canonicalization" ב- (Internet Information Server 4.0 (IIS 4.0 וב- (Internet Information Services 5.0 (IIS 5.0. הורד כעת כדי למנוע את האפשרות שמשתמש בעל כוונות שליליות ישיג הרשאה להשתמש בקבצי Internet Server Application Programming Interface (ISAPI) המאוחסנים בשרת אינטרנט. בעיית אבטחה זו אינה משפיעה על דפי אינטרנט סטטיים או על קבצים שאינם מסוג קבצי אינטרנט כדוגמת .exe ,.doc או .bat.

בתנאים מסוימים, שגיאת canonicalization (פישוט הרשאות גישה לקבצים) יכולה לגרום ל- IIS 4.0 או IIS 5.0 להחיל הרשאה לא נכונה על סוגים מסוימים של קבצים. אם קובץ המושפע מכך שוכן בתיקיה עם הרשאות מוגבלות והקובץ נדרש דרך סוג מסוים של URL פגום, ההרשאות שבהן נעשה שימוש למעשה הן אלה של שרשרת ההורות של התיקייה, אולם לא אלה של התיקייה שבה הקובץ שוכן למעשה. אם הרשאות תיקיית האב מתירניות יותר מאלה של התיקייה הנכונה, המשתמש בעל הכוונות השליליות יכול להשיג זכויות נוספות לקובץ המושפע. ניתן לנצל את בעיית האבטחה רק תחת תנאים ספציפיים מאוד:

• הבעיה משפיעה על CGI scripts וסוגי קבצים המיושמים דרך סיומות ISAPI בלבד. היא אינה משפיעה על דפי אינטרנט סטטיים או על קבצים שאינם מסוג קבצי אינטרנט כדוגמת exe ,.doc או .bat.
• הבעיה משפיעה על שרתים החושפים את מבנה תיקיית האינטרנט שמשקפת את מבנה התיקייה הפיזית שעל השרת בלבד.
• הבעיה אינה מאפשרת הרשאות שרירותיות, אלא הרשאות הקיימות בתיקיית האב בלבד.
• הבעיה אינה מספקת כל דרך כדי למנות את השרת ולאתר קבצים היכולים להיות מושפעים מבעיית האבטחה.

לקבלת מידע נוסף על בעיית אבטחה זו, קרא את Microsoft Security Bulletin מספר MS00-057. (האתר כתוב באנגלית).

• Windows 2000 Professional
• Windows 2000 Server
• Windows 2000 Advanced Server
• Internet Information Server 4.0
• Internet Information Services 5.0

1. לחץ על התחל, הצבע על הגדרות ולחץ על לוח הבקרה.
2. לחץ פעמיים על הוספה/הסרה של תוכניות.
3. בחר באפשרות (Windows 2000 Hotfix (Pre-Sp2 [לקבלת מידע נוסף, ראה Q269862] ולחץ על שנה/הסר כדי להסיר את ההתקנה.