DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 231368 - Última revisão: quinta-feira, 26 de outubro de 2006 - Revisão: 4.3

Download do Hotfix Disponível
Visualizar e solicitar downloads de hotfix
 
 

Nesta página

Sintomas

A Microsoft identificou uma vulnerabilidade que ocorre em alguns visualizadores de arquivos incluídos no Microsoft Site Server e Internet Information Server.

A vulnerabilidade pode permitir que um visitante do site para exibir, mas não para alterar arquivos no servidor, desde que o visitante saiba ou adivinhar o nome de cada arquivo e tem direitos de acesso para o arquivo com base no Windows NT Access Control Lists (ACLs).

Causa

As ferramentas do Visualizador de arquivo não restringem os arquivos que um usuário pode exibir.

Resolução

O site Server 3.0

Para resolver esse problema, obtenha o service pack mais recente para o Site Server 3.0. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
219292  (http://support.microsoft.com/kb/219292/EN-US/ ) Como obter o Service Pack mais recente do Site Server 3.0
Esse problema foi corrigido primeiro no Site Server 3.0 Service Pack 3.

IIS 4.0

Uma correção foi desenvolvida para o IIS 4.0 e foi lançada para o seguinte local de Internet como Fix2450I.exe (Intel) ou Fix2450A.exe (Alpha):
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/ (ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/)

Como Contornar

Para eliminar a vulnerabilidade em seu servidor Web que pode ser causado por esses visualizadores de arquivo, você deve:

  • Remova os visualizadores de arquivo afetado, a menos que especificamente são obrigatórias no site da Web. Os seguintes visualizadores de arquivo são afetados: ViewCode.asp, ShowCode.asp, Code.asp, CodeBrws.asp e Winmsdp.exe. Dependendo da instalação específica, nem todos esses arquivos podem estar presentes em um servidor. Pode haver várias cópias de alguns arquivos, portanto, você deve realizar uma pesquisa completa de seus servidores para localizar todas as cópias.
  • De acordo com diretrizes de segurança padrão, arquivo permissões devem sempre ser configuradas para habilitar os visitantes da Web obter acesso para somente os arquivos eles necessidade e não outros. Arquivos que são necessários pelo Web visitantes devem fornecer o menor privilégio necessário. Por exemplo, arquivos que os visitantes da Web precisam ser capaz de ler mas não gravação deve ser definida somente leitura.
  • Como regra geral, arquivos de exemplo e raízes virtuais (vroots) devem sempre ser excluídas de um servidor Web antes de colocá-lo em produção. Se arquivos de exemplo e vroots são necessários, permissões de acesso de arquivo devem ser usadas para regular o acesso a eles como apropriado

Mais Informações

Internet Information Server (IIS) e o Microsoft Site Server incluem ferramentas que permitem que os visitantes do site exibir arquivos selecionados no servidor. Essas ferramentas são instaladas por padrão no servidor local, mas devem ser explicitamente instaladas no IIS. Essas ferramentas são fornecidas para permitir que usuários exibam o código-fonte dos arquivos de exemplo como um exercício de aprendizagem e não se destinam a ser implantado em servidores Web de produção. O problema subjacente dessa vulnerabilidade é que as ferramentas não restringem os arquivos que um visitante do site pode exibir.

Observe os seguintes pontos importantes:
  • Esses visualizadores de arquivos não são instalados por padrão no IIS. Eles estão instalados no IIS somente se você optar por instalar os arquivos da Web de exemplo.
  • Essa vulnerabilidade permite que um visitante do site somente exibir arquivos. Não há nenhuma capacidade para alterar arquivos ou adicionar arquivos para o servidor.
  • Essa vulnerabilidade não de forma alguma ignorar a permissão de arquivo do Windows NT ACLs. Um visitante do site pode usar essas ferramentas para exibir somente os arquivos cujas ACLs permite acesso de leitura. O administrador do servidor Web determina as permissões específicas para todos os arquivos no servidor.
  • Os visualizadores somente podem ser usados para exibir arquivos na mesma partição como a página da Web exibida no momento. Bancos de dados, como aqueles usados por servidores de e-commerce, geralmente são armazenados em uma unidade física diferente e, não correm o risco.
  • O visitante do site precisa saber ou adivinhar o nome de cada arquivo que desejam exibir.

Referências adicionais


A informação contida neste artigo aplica-se a:
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
Palavras-chave: 
kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 231368  (http://support.microsoft.com/kb/231368/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store