DetailPage-MSS-KB

기술 자료

기술 자료: 231368 - 마지막 검토: 2006년 10월 26일 목요일 - 수정: 4.3

사용 가능한 핫픽스 다운로드
핫픽스 보기 및 다운로드 요청하기
 
 

이 페이지에서

현상

Microsoft는 Microsoft 사이트 서버 및 인터넷 정보 서버 포함된 일부 파일 뷰어 발생하는 보안 문제를 확인했습니다.

이 취약점으로 인해 웹 사이트 방문자가 볼 수 있지만 방문자가 알고 또는 각 파일의 이름을 예측합니다 및 파일, Windows NT 액세스 제어 목록 (ACL) 기반 액세스 권한이 있는, 해당 서버에서 파일을 변경하지 않는 것이 허용됩니다.

원인

파일 뷰어 도구는 사용자가 볼 수 있는 파일을 제한하지 않습니다.

해결 방법

Site Server 3.0

이 문제를 해결하려면 사이트 Server 3.0 최신 서비스 팩을 구하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
219292  (http://support.microsoft.com/kb/219292/EN-US/ ) 사이트 서버 3.0의 최신 서비스 팩을 구하는 방법
이 문제는 사이트 Server 3.0 서비스 팩 3에서 처음 해결되었습니다.

4.0 IIS

수정 IIS 4 .0용으로 개발된 및 Fix2450I.exe (Intel) 또는 Fix2450A.exe (알파) 와 다음 인터넷 위치에 게시되어 있습니다.
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/ (ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/)

해결 과정

이러한 파일 뷰어에 의해 발생할 수 있는 웹 서버의 취약점을 제거하기 위해 수행해야 합니다.

  • 웹 사이트에서 특별히 필요한 경우가 아니면 영향을 받는 파일 뷰어 제거하십시오. 다음 파일 뷰어 영향을: ViewCode.asp, ShowCode.asp, Code.asp, CodeBrws.asp, 및 Winmsdp.exe. 특정 설치에 따라 이러한 파일을 모두 서버에 존재할 수 있습니다. 서버의 모든 복사본을 찾으려면 전체 검색을 수행할 수 있도록 일부 파일의 여러 복사본을 수 있습니다.
  • 표준 보안 지침에 따라 파일 권한을 항상 웹 방문자가 얻을 수 있도록 설정해야 합니다 파일에 대해서만 필요성, 및 창이 액세스할. 웹 방문자가 필요한 최소 권한을 제공해야 합니다 필요한 파일이. 예를 들어, 웹 방문자가 읽을 수 있어야 할 파일이 있지만 않은 쓰기 읽기 전용으로 설정해야 합니다.
  • 프로덕션 단계로 넣기 전에 일반적으로, 예제 파일과 가상 루트를 (vroots) 항상 웹 서버에서 삭제해야 합니다. 예제 파일 및 vroots 필요한 경우 파일 액세스 권한은 액세스할 수 있도록 적절하게 조정할 사용해야 합니다.

추가 정보

Microsoft 사이트 서버 및 인터넷 정보 서버(IIS) 웹 사이트 방문자가 서버에 선택한 파일을 볼 수 있는 도구에 포함됩니다. 이러한 도구는 사이트 서버, 기본적으로 설치되지 않지만 IIS에서 명시적으로 설치해야 합니다. 이러한 학습 실습 샘플 파일의 소스 코드로 볼 수 있도록 제공된 도구와 프로덕션 웹 서버에 배포할 수 위한 것이 아닙니다. 이 취약점 기본적인 문제를 웹 사이트 방문자가 볼 수 있는 파일을 도구를 제한하는 것입니다.

다음 중요 사항에 주의하십시오.
  • 이러한 파일 뷰어 IIS에 기본적으로 설치되지 않습니다. 샘플 웹 파일을 설치하도록 선택할 경우 IIS에 설치되어 있습니다.
  • 이 취약점은 웹 사이트 방문자가 경우에만 파일을 볼 수 있습니다. 파일을 변경하거나 파일 서버에 추가할 수 없는 기능이 있습니다.
  • 이 취약점을 Windows NT 파일 권한이 ACL을 어떤 식으로든 무시할 수 있지 않습니다. 웹 사이트 방문자가 이러한 도구는 해당 ACL을 읽기 액세스할 수 있습니다 파일만 볼 수 있습니다. 웹 서버 관리자는 서버의 모든 파일에 대해 특정 사용 권한을 결정합니다.
  • 현재 표시된 웹 페이지로 동일한 파티션에 파일을 볼 수 있는 뷰어 경우에만 사용할 수 있습니다. 일반적으로 데이터베이스, 전자 상거래 서버에 의해 사용되는 것과 같은 다른 물리적 드라이브에 저장되고 위험할 수 있습니다.
  • 웹 사이트 방문자가 알고 있거나 보고 싶은 각 파일의 이름을 추측해야 합니다.

추가 참조


본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
키워드: 
kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtko
기계 번역된 문서기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store