Säkerhetsuppdatering, 17 juli 2000
Den här uppdateringen löser två säkerhetsproblem i Internet Information Services (IIS) 5.0. Felen omnämndes i Microsoft Security Bulletin MS00-044. Hämta uppdateringen nu om du vill hindra obehöriga från att utnyttja säkerhetshålen och sänka webbserverns prestanda, eller, under extrema omständigheter, att komma åt källkoden till visa filer på webbservern.
I Windows 2000 används skript i form av .htr-filer för att byta och administrera lösenord. Inget av säkerhetsproblemen som beskrivs nedan gör det möjligt för obehöriga att ändra, lägga till eller ta bort data från servern. Obehöriga kan heller inte få administratörsbehörighet för datorn.
Läs mer om de båda säkerhetsproblemen som denna uppdatering åtgärdar:
- Det första felet uppstår då ett administrationsskript som installerades med IIS 3.0, och som finns kvar efter uppgradering till IIS 4.0 eller IIS 5.0, inte kan hantera ett saknat argument. Avsaknaden av argument får skriptet att fastna i en oändlig slinga som förbrukar all processorkapacitet på servern. Dessutom kan IIS 3.0 ge webbplatsbesökare behörighet att använda funktioner i IIS 5.0. som visar serverns katalogstruktur.
- Det andra felet är en ny variant av ett gammalt problem med otillbörlig visning av .htr-filer. Den ursprungliga varianten diskuterades i Microsoft Security Bulletin MS00-031. (Webbplatsen är på engelska.) Den enda skillnaden mellan den gamla och den nya varianten av felet är sättet det kan missbrukas på. Felet gör det möjligt för obehöriga att hämta de mest intressanta delarna av ASP-filer och andra filer.
Mer information finns i Microsoft Security Bulletin MS00-044. (Webbplatsen är på engelska.)
Uppdateringen gäller för Windows 2000-datorer där IIS 5.0 används.
Starta om datorn för att slutföra installationen.
- Klicka på Start, peka på Inställningar och klicka sedan på Kontrollpanelen.
- Dubbelklicka på Lägg till/ta bort program.
- Markera Windows 2000 Hotfix [Mer information finns i Q267560] och klicka på Ändra eller ta bort program.