Microsoft安全公告(MS00-084)

/ns/ld/win/data/20010107050215.htm

Microsoft安全公告(MS00-084)

---------------------------------------

用于"Indexing Services Cross Site Scripting"漏洞的补丁

最初发布: November 02, 2000

摘要

=======

Microsoft has released a patch that eliminates a security
vulnerability in Microsoft(r) Indexing Services for Windows 2000.
This vulnerability could allow a malicious web site operator to
misuse another web site as a means of attacking users.
Microsoft发布了一个补丁消除Windows 2000中Microsoft(r) Indexing Services的一个安全漏洞。
这个漏洞能够允许恶意WEB站点操作员滥用另一个WEB站点攻击手段上的攻击用户。

关于这个漏洞和补丁的常见问题请参看以下地址：
http://www.microsoft.com/technet/security/bulletin/fq00-084.asp

公告

=====

2000年2月20日, Microsoft和CERT Coordination Center公布了关于新近鉴定的一个影响所有WEB服务器产品的安全漏洞的信息。

这个漏洞，称为Cross-Site Scripting (CSS)，是由于在动态WEB页上使用WEB应用程序前没有正确验证输入而导致的。

如果一个恶意WEB站点操作员引诱一个用户到他的站点，并且确定一个第三方WEB站点易于受到CSS攻击，他就可以用这个漏洞潜在地以其他WEB站点向一个WEB页"注入"script，然后交付给那个用户。

这样的结果是导致恶意拥护的script利用其他站点提供的信任在用户主机上运行了。

The vulnerability can affect any software that runs on a web server,accepts user input, and uses it to generate web pages without sufficient validation. Microsoft has identified an Indexing Service component (CiWebHitsFile) that, when called from a specially crafted URL, is vulnerable to this scenario.
这个漏洞能影响运行在一个WEB服务器上的任何软件，接受用户输入，并不经过充分确认而生成WEB页。

Microsoft已经识别了一个Indexing Service成分(CiWebHitsFile)在其被一个特殊形式的URL调用时易于受到攻击。

受影响的软件版本

==========================

- Microsoft Indexing Services for Windows 2000

注意: Windows 2000附带和安装的Indexing Service默认是不激活的。我们极力建议在Windows 2000上运行WEB服务并激活
Indexing Services的用户使用这个补丁。

有效的补丁

==================

- Indexing Services for Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25517

注意: 附加的安全补丁可以在Microsoft下载中心找到

更多信息
================
更多关于这篇公告的信息请看以下参考资料：
- 常见问题: Microsoft安全公告MS00-084,
http://www.microsoft.com/technet/security/bulletin/fq00-084.asp
- 有关Cross-Site Scripting安全漏洞的信息：
http://www.microsoft.com/technet/security/crssite.asp
- CERT(r)咨询CA-2000-02:内含在客户端Web请求的恶意HTML标签：
http://www.cert.org/advisories/CA-2000-02.html
- Microsoft Knowledge Base article Q278499 discusses this issue and
will be available soon.
- Microsoft TechNet Security web site,
http://www.microsoft.com/technet/security/default.asp

在这篇公告中能获得的支持
===============================
这是一个完全支持的补丁。 联系Microsoft Product Support Services的信息可以在下列地址找到：
http://support.microsoft.com/support/contact/default.asp