DetailPage-MSS-KB

知识库

文章编号: 231368 - 最后修改: 2006年10月26日 - 修订: 4.3

 
 

本页

症状

Microsoft 已标识包括 Microsoft 站点服务器和 Internet 信息服务器的某些文件查看器中出现的漏洞。

该漏洞可能允许 Web 站点访问者查看,,但不是能更改,该上的文件提供的访问者知道或猜测每个文件的名称,并已根据在 Windows NT 访问控制列表 (acl) 文件的访问权限。

原因

文件查看器工具不能限制用户可以查看哪些文件。

解决方案

站点服务器 3.0

若要解决此问题,获得最新的 service pack,站点服务器 3.0。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
219292  (http://support.microsoft.com/kb/219292/EN-US/ ) 如何获取最新的站点服务器 3.0 服务包
站点服务器 3.0 Service Pack 3 中,第一次已得到纠正此问题。

IIS 4.0

修补程序已经发展对于 IIS 4.0 和已过帐到以下的 Internet 位置,作为 Fix2450I.exe (英特尔) 或 $ Fix2450A.exe (字母):
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/ (ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/)

替代方法

若要不必在您会引起这些文件查看器的 Web 服务器上的该漏洞,您应该:

  • 删除了受影响的文件查看器,除非特别需要在 Web 站点上。以下文件查看器会受到影响: ViewCode.asp、 ShowCode.asp、 Code.asp、 CodeBrws.asp 和 Winmsdp.exe。 根据在特定的安装不是所有这些文件可能存在于服务器上。可能是一些的文件的多个副本,因此,您应执行完整搜索您要查找所有副本的服务器。
  • 依照标准安全准则文件权限应始终设置为启用 Web 访问者能够访问只在文件它们需要,和没有其他人。通过 Web 访问者都应提供所需的最低权限所需的文件。例如对于网站访问者需要能够读取的文件,但不是写应设置为只读的。
  • 作为一般的规则示例文件和 $ 虚拟根目录 (vroots) 应该始终删除从 Web 服务器之前将其放到生产环境。如果需要示例文件和 $ vroots,则应使用文件访问权限来控制对它们相应的访问

更多信息

Microsoft 站点服务器和 Internet 信息服务器 (IIS) 包括允许网站访问者查看服务器上的所选的文件的工具。这些工具在默认情况下安装在站点服务器,但必须在 IIS 中显式地安装。这些工具提供了以允许用户查看的示例文件作为一个学习练习的源代码,并不是要在生产 Web 服务器上部署。此漏洞中潜在的问题是该工具不能限制 Web 站点访问者可以查看哪些文件。

请注意以下要点:
  • 默认情况下,在 IIS 中没有安装这些文件查看器。 它们安装在 IIS 中只有当您选择安装的示例 Web 文件。
  • 此漏洞允许网站访问者只查看文件。 没有能更改文件或将文件添加到服务器。
  • 绕此漏洞不会不以任何方式过 Windows NT 文件权限 acl。在网站访问者可以使用这些工具,以查看其 acl 允许他们的读取访问权限的文件。Web 服务器的管理员决定在服务器上的所有文件的特定权限。
  • 查看仅可用于查看与当前显示的 Web 页在同一分区上的文件。如所使用的电子商务的服务器的数据库通常存储在一个不同的物理驱动器上,并不会带来风险。
  • 网站访问者需要知道或猜到他们要查看每个文件的名称。

附加引用


这篇文章中的信息适用于:
  • Microsoft Site Server 3.0 标准版
  • Microsoft Site Server 3.0 商业版
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
关键字: 
kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtzh
机器翻译机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 231368  (http://support.microsoft.com/kb/231368/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
其他支持选项
Microsoft Community 支持论坛
直接联系我们
查找 Microsoft 认证合作伙伴
Microsoft 商店