安全更新程序,2000 年 7 月 17 日
此更新程序解决了 Internet Information Services (IIS) 5.0 中的两个安全漏洞,这两个漏洞分别是“缺少目录浏览器参数”安全漏洞和“通过 .HTR 读取文件片断”,在 Microsoft 安全公告 MS00-044 中论述了此更新程序。请立即下载此更新程序,以防止恶意用户利用这两个安全漏洞降低受影响的 Web 服务器的性能,或者防止在某些非常特殊的情况下,恶意用户获取 Web 服务器上某些类型文件的源代码。
.htr 文件是一些脚本,可在 Windows 2000 中用来更改密码,并且管理员可以使用它们执行多种密码管理功能。这两个安全漏洞既不会导致在服务器上更改、添加或删除数据,也不会导致对计算机的管理控制。
有关在此更新程序中解决的这两个安全漏洞的详细信息:
- “缺少目录浏览器参数”安全漏洞。管理脚本(作为 IIS 3.0 的一部分安装并在升级到 IIS 4.0 或 IIS 5.0 时仍保留)没有正确处理缺少应有参数的情况。缺少参数导致脚本进入无限循环状态,此时该脚本会占用服务器上的所有 CPU 资源。此外,此工具的某些权限以及适合于 IIS 3.0 的若干相关权限并不适合于 IIS 5.0。这可能会允许网站访问者使用这些工具,从而使他们能够查看服务器上的目录结构。
- “通过 .htr 读取文件片断”安全漏洞的新变体。此安全漏洞的原始版本已在 Microsoft 安全公告 MS00-031(英文站点) 中进行了论述。这一新的安全漏洞只是在其被利用的具体方法上有所不同。与原始版本类似,此安全漏洞造成的影响是:有可能从服务器检索 .asp 和其他文件的片断。与原始版本相同,这一新变体的机制可能导致恶意用户剥离出最吸引他的 .asp 文件部分。
有关这些漏洞的详细信息,请阅读 Microsoft 安全公告 MS00-044(英文站点)。
此更新程序适用于运行 IIS 5.0 的 Windows 2000 计算机。
重新启动计算机以完成安装。
- 单击“开始”,指向“设置”,然后单击“控制面板”。
- 双击“添加/删除程序”。
- 选择“Windows 2000 Hotfix ”[有关详细信息,请参阅 Q267560],然后单击“更改/删除”进行卸载。