이 업데이트는 Internet Information Server 4.0(IIS 4.0) 및 Internet Information Services 5.0(IIS 5.0)의 "파일 권한 정규화" 보안 문제를 해결합니다. 악의적인 목적을 가진 사용자가 웹 서버에서 호스트된 ISAPI(인터넷 서버 응용 프로그래밍 인터페이스) 파일 사용 권한을 얻지 못하도록 하려면 지금 다운로드하십시오. 이 보안 문제는 정적 웹 페이지나 웹 파일 유형이 아닌 .exe, .doc, .bat 파일 등에는 영향을 주지 않습니다.

특정 조건에서 정규화 오류로 인해 IIS 4.0 또는 IIS 5.0이 특정 유형의 파일에 잘못된 권한을 적용할 수 있습니다. 영향을 받는 파일이 권한이 제한적으로 지정된 폴더에 있으며 해당 파일이 특정 유형의 잘못된 형식의 URL을 통해 요청되는 경우, 실제로 사용된 권한은 해당 파일이 실제로 있는 폴더의 권한이 아니라 파일의 부모 체인에 있는 폴더 권한입니다. 상위 폴더 권한이 올바른 폴더 권한보다 더 허용되는 경우 악의적인 목적을 가진 사용자가 영향을 받는 파일에 대한 추가 권한을 얻을 수 있습니다. 이 보안 문제는 다음과 같은 특정 조건에서만 악용될 수 있습니다.

• ISAPI 확장명을 통해 구현되는 CGI 스크립트 및 파일 유형에만 영향을 주며 정적 웹 페이지 또는 웹 파일 유형이 아닌 .exe, .doc, .bat 파일 등에는 영향을 주지 않습니다.
• 서버의 실제 폴더 구조가 미러되는 웹 폴더 구조를 노출하는 서버에만 영향을 미칩니다.
• 상위 폴더에 있는 권한만 선택되고 임의 권한은 선택되지 않습니다.
• 서버를 열거하고 이 보안 문제가 영향을 미칠 수 있는 파일을 찾는 방법을 제공하지 않습니다.

이 보안 문제에 대한 자세한 내용은 Microsoft Security Bulletin MS00-057을 참조하십시오. 이 사이트는 영문 사이트입니다.

• Windows 2000 Professional
• Windows 2000 Server
• Windows 2000 Advanced Server
• Internet Information Server 4.0
• Internet Information Services 5.0

1. 시작을 클릭하고 설정을 선택한 다음, 제어판을 클릭합니다.
2. 프로그램 추가/제거를 두 번 클릭합니다.
3. Windows 2000 Hotfix (Pre-Sp2) [See Q269862 for more information]을 선택한 다음 변경/제거를 클릭하여 제거합니다.