Обновление системы безопасности от 17 июля 2000 г.
Это обновление позволит устранить две проблемы безопасности в службах Internet Information Services (IIS) 5.0: "Absent Directory Browser Argument" и "File Fragment Reading via .HTR". Оно описано в бюллетене Microsoft Security Bulletin MS00-044. Загрузите это обновление, чтобы предотвратить использование злоумышленником этих проблем безопасности для уменьшения производительности веб-сервера или для получения в очень редких случаях исходного текста определенных типов файлов на веб-сервере.
Файлы .htr - это сценарии, которые можно использовать в системе Windows 2000 для изменения паролей. Администраторы используют эти сценарии для выполнения различных администраторских функций, связанных с паролями. Эти проблемы безопасности не позволяют ни изменять, добавлять или удалять данные, ни установлению администраторского управления на компьютере.
Остановимся подробнее на проблемах безопасности, которые можно устранить с помощью этого обновления:
- Проблема “Absent Directory Browser Argument”. Сценарий для администрирования, который установлен в составе IIS 3.0 и сохранился при обновлении до IIS 4.0 или IIS 5.0, неправильно обрабатывает случай, когда отсутствует необходимый аргумент. Отсутствие аргумента приводит к выполнению бесконечного цикла в сценарии, в результате чего сценарий использует все ресурсы процессора на сервере. Кроме того, права доступа на это и некоторые другие средства, которые были необходимы в IIS 3.0, являются неуместными в IIS 5.0. Это позволит посетителям веб-узла пользоваться этими инструментами, которые, в свою очередь, предоставят возможность просматривать структуру каталогов на сервере.
- Новая разновидность проблемы безопасности “File Fragment Reading via .htr”. Первоначальная проблема безопасности описана в бюллетене Microsoft Security Bulletin MS00-031 (на английском языке). Новая проблема безопасности отличается только в отношении того, как она используется. Как и в первоначальной версии, проблема безопасности заключается в том, что с сервера потенциально можно получить фрагменты файлов .asp и других файлов. Как и в первоначальной версии, механизм нового варианта увеличивает вероятность того, становятся доступными те части файла .asp, которые представляют наибольший интерес для злоумышленника.
Дополнительные сведения об этих проблемах безопасности можно найти в бюллетене Microsoft Security Bulletin MS00-044 (на английском языке).
Это обновление предназначено для компьютеров с системой Windows 2000, на которых используются службы IIS 5.0.
Для завершения установки необходимо перезагрузить компьютер.
- Нажмите кнопку Пуск, выберите пункт Настройка, а затем Панель управления.
- Дважды щелкните значок Установка и удаление программ.
- Выберите Windows 2000 Hotfix [для получения дополнительных сведений см. статью Q267560], а затем нажмите кнопку Заменить/Удалить для удаления программы.