Aktualizacja zabezpieczeń, 17 lipca 2000
Ta aktualizacja usuwa dwie luki w zabezpieczeniach w programie Internetowe usługi informacyjne (Internet Information Services, IIS) 5.0 - „Absent Directory Browser Argument” („Brakujący argument przeglądarki katalogów”) i „File Fragment Reading via .HTR” („Czytanie fragmentu pliku poprzez pliki .htr”) i jest omówiona w biuletynie Microsoft Security Bulletin MS00-044. Pobierz tę aktualizację teraz, aby uniemożliwić złośliwemu użytkownikowi wykorzystanie tych luk w zabezpieczeniach do zmniejszenia wydajności danego serwera sieci Web lub, w ściśle określonych warunkach, uzyskanie kodu źródłowego niektórych typów plików na serwerze sieci Web.
Pliki .htr to skrypty, których można użyć w systemie Windows 2000 do zmiany haseł i których administratorzy mogą użyć do wykonania różnych funkcji związanych z administrowaniem hasłami. Żadna z tych usterek w zabezpieczeniach nie pozwala na zmianę, dodanie lub usunięcie danych z serwera ani nie pozwala na przejęcie kontroli administracyjnej nad danym komputerem.
Szczegóły dotyczące tych dwóch luk w zabezpieczeniach, których dotyczy ta aktualizacja:
- Luka w zabezpieczeniach „Brakujący argument przeglądarki katalogów”. Skrypt adminstracji, który został zainstalowany jako część programu IIS 3.0 i jest zachowywany po uaktualnieniu do programu IIS 4.0 lub IIS 5.0, działa nieprawidłowo w przypadku, gdy brakuje oczekiwanego argumentu. Brak argumentu powoduje, że skrypt działa w nieskończonej pętli i zużywa wszystkie zasoby procesora w serwerze. Ponadto uprawnienia w tym narzędziu i kilku z nim związanych, które były odpowiednie w programie IIS 3.0 są nieodpowiednie w programie IIS 5.0. Może to umożliwiać osobom odwiedzającym witryny sieci Web korzystanie z tych narzędzi, co umożliwia wyświetlenie struktury katalogu na serwerze.
- Nowy wariant luki w zabezpieczeniach „Czytanie fragmentu pliku poprzez pliki .htr”. Pierwotna wersja tej luki w zabezpieczeniach jest omówiona w biuletynie Microsoft Security Bulletin MS00-031. (Witryna w języku angielskim.) Nowa luka w zabezpieczeniach różni się tylko szczególnym sposobem jej wykorzystania. Tak jak w wersji pierwotnej powoduje ona, że fragmenty plików .asp i innych plików można pobrać z serwera. Tak samo jak w wersji pierwotnej mechanizm nowego wariantu powoduje, że części pliku .asp najbardziej interesujące dla złośliwego użytkownika mogą zostać oddzielone.
Więcej informacji na temat tych luk w zabezpieczeniach zawiera biuletyn Microsoft Security Bulletin MS00-044. (Witryna w języku angielskim.)
Ta aktualizacja dotyczy komputerów z systemem Windows 2000 z zainstalowanym programem IIS 5.0.
Uruchom ponownie komputer, aby ukończyć instalację.
- Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
- Kliknij dwukrotnie aplet Dodaj/Usuń programy.
- Wybierz pozycję Windows 2000 Hotfix [Aby uzyskać więcej informacji, należy zapoznać się z artykułem Q269862], a następnie kliknij przycisk Zmień/Usuń w celu dezinstalacji.