Adatvédelmi frissítés, 2000. július 17.
Ez a frissítés az Internet Information Services (IIS) 5.0 következő két biztonsági résére nyújt megoldást: „Hiányzó könyvtártallózó-argumentum”, illetve „Fájltöredék elolvasása .HTR-fájl segítségével”. A frissítés részleteit a Microsoft Security Bulletin MS00-044-es számú cikke ismerteti. A frissítés letöltésével megakadályozhatja, hogy egy ártó szándékú felhasználó a réseket kihasználva lelassítsa a webkiszolgáló működését, vagy hogy nagyon speciális feltételek megléte esetén hozzáférhessen a webkiszolgálón lévő bizonyos típusú fájlok forráskódjához.
A .htr-fájlok a Windows 2000 rendszerben a jelszavak módosítására használt parancsfájlok, illetve a rendszergazdák különböző felügyeleti funkciókat tudnak velük végrehajtani. Egyik rés sem eredményezi a kiszolgálón tárolt adatok módosítását, kiegészítését vagy törlését, sem az érintett számítógép fölötti rendszergazdai felügyelet átvételét.
A frissítés által megoldott két rés részletesebb ismertetése:
- A „Hiányzó könyvtártallózó-argumentum” nevű rés. Egy az IIS 3.0 részeként települő felügyeleti parancsfájl, amely az IIS 4.0-s és IIS 5.0-s verzióra történő frissítéskor is megőrződik, helytelenül kezeli az olyan eseteket, amikor hiányzik az egyik argumentum. Az argumentum hiányában a parancsfájl végtelen hurokba kerül, ami felemészti a kiszolgáló összes processzor-erőforrását. Ráadásul az eszköz és a hozzá kapcsolódó több eszköz engedélyei, amelyek az IIS 3.0-s verzióban megfelelőek voltak, IIS 5.0-s verzió esetén nem kielégítőek. Ennek következtében a webhelyek látogatói ezeknek az eszközöknek a használatával esetleg hozzáférhetnek a kiszolgáló könyvtárszerkezetéhez.
- A „Fájltöredék elolvasása .HTR-fájl segítségével” nevű rés új változata. Ennek a résnek az eredeti változatát a Microsoft Security Bulletin MS00-031-es számú cikke ismerteti. (A webhely angol nyelvű.) Az új rés kizárólag a rés kihasználásának módjában különbözik a régitől. Az eredeti verzióhoz hasonlóan az a rés hatása, hogy az .asp- és egyéb fájlok töredékeit esetleg lekérhetik a kiszolgálótól. Az új variáns szerkezete az eredetiéhez hasonlóan valószínűvé teszi, hogy megszerezhetők lesznek az .asp-fájloknak az ártó szándékú felhasználót leginkább érdeklő részei.
Az adatvédelmi résről a Microsoft Security Bulletin MS00-044-es számú Microsoft Security Bulletin cikkben olvashat bővebben. (A webhely angol nyelvű.)
A frissítés az IIS 5.0 alkalmazást Windows 2000 rendszeren futtató számítógépekhez készült.
A telepítés befejezéséhez indítsa újra a számítógépet.
- Mutasson a Start menü Beállítások pontjára, majd kattintson a Vezérlőpult parancsra.
- Kattintson duplán a Programok telepítése/törlése ikonra.
- Jelölje ki a Windows 2000 gyorsjavítás (SP2 előtti) [További információ a Q267560-as számú cikkben található] elemet, majd kattintson a Módosítás/eltávolítás gombra.