Bollettino Microsoft sulla sicurezza MS04-039

Una vulnerabilità in ISA Server 2000 e Proxy Server 2.0 può consentire lo spoofing di contenuti Internet (888258)

Data di pubblicazione: 9 novembre 2004
Data di aggiornamento: 16 novembre 2004
Versione: 3.0

Riepilogo

Destinatari: clienti che utilizzano Microsoft Proxy Server 2.0 o Microsoft Internet Security and Acceleration (ISA) Server 2000.

Effetti della vulnerabilità: spoofing

Livello di gravità massimo: importante

Raccomandazioni: si raccomanda di installare l'aggiornamento il più presto possibile.

Aggiornamenti per la protezione sostituiti: questo aggiornamento per la protezione sostituisce gli aggiornamenti forniti nel bollettino MS03-012. Sono compresi entrambi gli aggiornamenti per la protezione per ISA Server 2000 e Proxy Server 2.0.

Avvertenze: nessuna

Software verificato e percorsi per il download dell'aggiornamento per la protezione:

Software interessato:

Microsoft Proxy Server 2.0 Service Pack 1 – Download dell'aggiornamento
Microsoft Internet Security and Acceleration Server 2000 Service Pack 1 e Microsoft Internet Security and Acceleration Server 2000 Service Pack 2 – Download dell'aggiornamento
Nota I seguenti programmi software includono Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000). Si consiglia ai clienti che utilizzano questi programmi software di installare l'aggiornamento per la protezione ISA Server 2000 fornito.
- Microsoft Small Business Server 2000
- Microsoft Small Business Server 2003 Premium Edition

Software non interessato:

Microsoft Internet Security and Acceleration (ISA) Server 2004

I prodotti software inclusi nell'elenco sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per informazioni sulla disponibilità del supporto per il prodotto e la versione in uso, visitare il sito Web di Microsoft Ciclo di vita del supporto.

Informazioni generali

Compendio esecutivo

Identificatori della vulnerabilità	Effetti della vulnerabilità	ISA Server 2000	Proxy Server 2.0
Vulnerabilità legata allo spoofing - CAN-2004-0892	Spoofing	Importante	Importante

Domande frequenti relative a questo aggiornamento per la protezione

Perché il 16 novembre 2004 è stato pubblicato l'aggiornamento di questo bollettino sulla sicurezza?
Dopo la pubblicazione del bollettino sulla sicurezza MS04-039, Microsoft è venuta a conoscenza di un problema riguardante i clienti che utilizzano ISA Server 2000 Service Pack 1. La versione originale dell'aggiornamento della protezione per ISA Server 2000 non comprendeva tutti i necessari file binari per i sistemi che utilizzano ISA Server 2000 Service Pack 1. A seguito di questo problema, è possibile che ISA Server 2000 non funzioni in maniera corretta. Si consiglia ai clienti che utilizzano ISA Server 2000 Service Pack 1 di installare la versione aggiornata di questo aggiornamento. I clienti che utilizzano ISA Server 2000 Service Pack 2 non devono installare di nuovo il presente aggiornamento qualora siano stati in grado di installare in maniera corretta l'aggiornamento originale. La versione originale di questo aggiornamento consentiva di proteggersi dalla vulnerabilità descritta in questo bollettino sulla sicurezza.

È stato in seguito rilevato un altro problema relativo alla versione originale dell'aggiornamento della protezione riguardante i clienti che utilizzano Windows 2000 Service Pack 3. La versione originale era infatti stata concepita per Windows 2000 Service Pack 4. Si consiglia ai clienti che utilizzano Windows 2000 Service Pack 3 di installare la versione aggiornata di questo aggiornamento della protezione, che è stato modificato per poter essere installato correttamente nei sistemi che utilizzano Windows 2000 Service Pack 3. I clienti che utilizzano Windows 2000 Service Pack 4 con ISA Server 2000 Service Pack 2 non devono installare la versione aggiornata di questo aggiornamento della protezione. La versione originale di questo aggiornamento consentiva di proteggersi dalla vulnerabilità descritta in questo bollettino sulla sicurezza.

Entrambi i problemi riguardavano le versioni in tutte le lingue dell'aggiornamento della protezione ISA Server 2000.

Perché il 9 novembre 2004 è stato pubblicato l'aggiornamento di questo bollettino sulla sicurezza?
Dopo la pubblicazione del bollettino sulla sicurezza MS04-039, Microsoft è venuta a conoscenza di un problema riguardante gli utenti di ISA Server 2000 che avevano implementato la versione in lingua tedesca dell'aggiornamento della protezione. La versione pubblicata originariamente dell'aggiornamento della protezione ISA Server 2000 in tedesco richiedeva ISA Server 2000 Service Pack 2. La versione aggiornata dell'aggiornamento della protezione ISA Server 2000 in tedesco può essere installata nei sistemi ISA Server 2000 che implementano ISA Server 2000 Service Pack 1 o ISA Server 2000 Service Pack 2. Il problema riguardava soltanto la versione in tedesco dell'aggiornamento della protezione. La versione originale di questo aggiornamento consentiva di proteggersi dalla vulnerabilità descritta in questo bollettino sulla sicurezza. I clienti che utilizzano la versione in tedesco di ISA Server 2000 Service Pack 2 e che sono riusciti ad installare correttamente l'aggiornamento della protezione rilasciato originariamente non devono eseguire alcuna operazione.

È possibile utilizzare Microsoft Baseline Security Analyzer (MBSA) per verificare se è necessario installare questo aggiornamento?
No. MBSA non supporta attualmente il rilevamento dei prodotti interessati. Per informazioni dettagliate sui programmi che non è attualmente possibile analizzare con MBSA, vedere l'articolo della Microsoft Knowledge Base 306460. Se è stato installato uno dei programmi elencati nella sezione Software interessato di questo bollettino, potrebbe essere necessario installare manualmente l'aggiornamento richiesto. Per ulteriori informazioni su MBSA, visitare il sito Web MBSA.

È possibile utilizzare Systems Management Server (SMS) per verificare se è necessario installare questo aggiornamento?
Sì. SMS consente di individuare questo aggiornamento per la protezione e di eseguirne la distribuzione. SMS esegue il rilevamento tramite MBSA e, di conseguenza, presenta la stessa limitazione descritta precedentemente in questo bollettino in relazione ai programmi che MBSA non è in grado di rilevare. Sebbene SMS non sia in grado di rilevare il software interessato tramite MBSA, gli amministratori possono utilizzare SMS per individuare i file interessati ed eseguirne l'aggiornamento. Per la distribuzione dell'aggiornamento è inoltre possibile utilizzare le funzionalità di inventario e distribuzione del software disponibili in SMS. Per ulteriori informazioni su SMS, visitare il sito Web SMS.

È possibile utilizzare SMS per determinare se i programmi installati devono essere aggiornati?
Sì. È possibile utilizzare SMS per determinare se nel sistema sono presenti programmi che potrebbero avere installato una propria versione del componente affetto dalla vulnerabilità. Per ISA Server 2000, SMS è in grado di rilevare la presenza del file Msphlpr.dll e di aggiornare tutte le versioni del file anteriori alla 3.0.1200.408. Per Proxy Server 2.0 Service Pack 1, nella sezione Informazioni sull'aggiornamento per la protezione di questo bollettino sono disponibili informazioni dettagliate sui file.

Dettagli della vulnerabilità

Informazioni sull'aggiornamento per la protezione

Piattaforme e prerequisiti per l'installazione:

Per informazioni sull'aggiornamento per la protezione specifico per la piattaforma utilizzata, fare clic sul collegamento corrispondente:

ISA Server 2000 Service Pack 1, ISA Server 2000 Feature Pack 1, ISA Server 2000 Service Pack 2, Small Business Server 2000, Small Business Server 2000 Service Pack 1, Small Business Server 2003

Prerequisiti
Questo aggiornamento per la protezione richiede l'installazione di ISA Server Service Pack 1 (SP1), ISA Server 2000 Feature Pack 1 o ISA Server 2000 Service Pack 2 (SP2)

Disponibilità nei service pack futuri:
L'aggiornamento per il problema illustrato verrà incluso in un service pack futuro.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione:

/help Visualizza le opzioni della riga di comando

Modalità di installazione

/quiet Modalità non interattiva (senza interazioni con l'utente o visualizzazione di messaggi e richieste)

/passive Modalità automatica (solo indicatore di stato)

/uninstall Disinstalla il pacchetto

Opzioni di riavvio

/norestart Non richiede il riavvio del sistema al termine dell'installazione

/forcerestart Esegue il riavvio del sistema dopo l'installazione

Opzioni speciali

/l Visualizza un elenco degli aggiornamenti rapidi o dei pacchetti di aggiornamento di Windows installati

/o Sovrascrive i file OEM senza richiedere conferma

/n Non esegue il backup dei file necessari per la disinstallazione

/f Impone la chiusura delle altre applicazioni all'arresto del computer

/extract Estrae i file senza avviare il programma di installazione

Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni del programma di installazione utilizzate dalla versione precedente dell'utilità di installazione. Per ulteriori informazioni sulle opzioni supportate dal programma di installazione, vedere l'articolo della Microsoft Knowledge Base 262841.

Informazioni per la distribuzione

Per installare l'aggiornamento per la protezione, immettere la riga seguente al prompt dei comandi di ISA Server 2000:

Isa2000-kb888258-x86-enu.exe

Necessità di riavvio

Per questo aggiornamento non è necessario riavviare il sistema. Il programma di installazione arresta i servizi necessari, applica l'aggiornamento, quindi riavvia i servizi. Tuttavia, se per una ragione qualsiasi non è possibile arrestare i servizi richiesti, o se i file richiesti sono in uso, sarà necessario riavviare il sistema. In questo caso, viene visualizzato un messaggio in cui si indica di riavviare il sistema.

Informazioni per la rimozione

Per rimuovere questo aggiornamento, utilizzare Installazione applicazioni dal Pannello di controllo. Selezionare Aggiornamento per la protezione di Microsoft ISA Server 2000 (KB 888258), quindi scegliere Aggiungi/Rimuovi. Se l'aggiornamento per la protezione è stato installato mentre era in uso ISA Server 2000 Service Pack 1 o ISA Server 2000 Feature Pack 1, l'aggiornamento può essere rimosso. Se l'aggiornamento per la protezione è stato installato mentre era in uso ISA Server 2000 Service Pack 1 o ISA Server 2000 Feature Pack 1 e in seguito è stato installato ISA Server 2000 Service Pack 2 ed è stato rimosso questo aggiornamento, è necessario reinstallare ISA Server 2000 Service Pack 2.

Informazioni sui file

I file della versione inglese di questo aggiornamento presentano gli attributi riportati nella tabella che segue (o valori successivi). Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

ISA Server 2000 Service Pack 1, ISA Server Feature Pack 1, ISA Server 2000 Service Pack 2, Small Business Server 2000, Small Business Server 2000 Service Pack 1, Small Business Server 2003:

Data Ora Versione Dimensioni Nome file ---------------------------------------------------------- 12-Nov-2004 07:28 3.0.1200.408 185,336 Mspadmin.exe 12-Nov-2004 07:09 3.0.1200.408 110,072 Msphlpr.dll 12-Nov-2004 07:09 3.0.1200.408 401,912 W3proxy.exe 12-Nov-2004 07:09 3.0.1200.408 307,192 Wspsrv.exe

Verifica dell'installazione dell'aggiornamento

Verifica della versione dei file
Nota Poiché esistono diverse versioni di Microsoft Windows, le operazioni descritte di seguito potrebbero risultare diverse nel computer in uso. In tal caso, consultare la documentazione del prodotto per eseguire tutti i passaggi.
1. Fare clic su Start, quindi su Cerca.
2. Nel riquadro Risultati della ricerca, scegliere Tutti i file e cartelle in Ricerca guidata.
3. Nella casella Nome del file o parte del nome, digitare il nome del file, individuato nell'appropriata tabella di informazioni sui file, quindi fare clic su Cerca.
4. Nell'elenco dei file, fare clic con il pulsante destro del mouse sul file individuato nell'appropriata tabella di informazioni sui file, quindi scegliere Proprietà.
  Nota A seconda della versione del sistema operativo o dei programmi installati, è possibile che alcuni dei file elencati nella tabella di informazioni sui file non siano installati.
5. Nella scheda Versione individuare il numero di versione del file installato nel computer e confrontarlo con quello specificato nell'appropriata tabella di informazioni sui file.
  Nota È possibile che durante l'installazione alcuni attributi diversi dalla versione del file vengano modificati. Il confronto di altri attributi dei file con le informazioni disponibili nella tabella non è un metodo supportato per la verifica dell'installazione dell'aggiornamento. In alcuni casi, inoltre, è possibile che i file vengano rinominati durante l'installazione. Se le informazioni sul file o la versione non sono disponibili, utilizzare uno degli altri metodi disponibili per verificare l'installazione dell'aggiornamento.
Controllo delle chiavi del Registro di sistema
Per verificare i file installati dell'aggiornamento per la protezione, è anche possibile esaminare le seguenti chiavi del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\408
In alternativa, è possibile attenersi alla procedura descritta di seguito per verificare che l'aggiornamento per la protezione sia stato installato:
1. Fare clic su Start, scegliere Impostazioni, quindi Pannello di controllo.
2. Fare doppio clic su Installazione applicazioni.
3. Se Aggiornamento per la protezione di Microsoft ISA Server 2000 (KB888258) compare nell'elenco, l'aggiornamento per la protezione è stato installato.

Proxy Server 2.0 Service Pack 1

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato con noi al fine di proteggere i sistemi dei clienti:

Martijn de Vries di Info Support per aver individuato la vulnerabilità legata allo spoofing e Thomas de Klerk di Info Support per aver segnalato questa vulnerabilità (CAN-2004-0892).

Download di altri aggiornamenti per la protezione:

Sono disponibili aggiornamenti per altri problemi di protezione nei seguenti siti:

Gli aggiornamenti per la protezione sono disponibili nell'Area download Microsoft ed è possibile individuarli in modo semplice eseguendo una ricerca con la parola chiave "security_patch".
Gli aggiornamenti per i sistemi consumer sono disponibili nel sito Web Windows Update.

Supporto tecnico:

Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Supporto Tecnico Microsoft. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite.
I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Gli interventi di assistenza relativi agli aggiornamenti di protezione sono gratuiti. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito Web del supporto internazionale.

Fonti di informazioni sulla sicurezza:

Nella sezione dedicata alla sicurezza del sito Web Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft.
Microsoft Baseline Security Analyzer (MBSA)
Windows Update
Catalogo di Windows Update:per ulteriori informazioni sul catalogo di Windows Update, vedere l'articolo della Microsoft Knowledge Base 323166.
Office Update

Systems Management Server:

Microsoft Systems Management Server (SMS) offre una soluzione aziendale altamente configurabile per la gestione degli aggiornamenti. Tramite SMS gli amministratori possono identificare i sistemi Windows che richiedono gli aggiornamenti per la protezione ed eseguire la distribuzione controllata di tali aggiornamenti in tutta l'azienda, riducendo al minimo le eventuali interruzioni del lavoro degli utenti finali. Per ulteriori informazioni sull'utilizzo di SMS 2003 per la distribuzione degli aggiornamenti per la protezione, visitare il sito Web SMS 2003 Security Patch Management. Gli utenti di SMS 2.0 possono inoltre utilizzare Software Updates Service Feature Pack per semplificare la distribuzione degli aggiornamenti per la protezione. Per ulteriori informazioni su SMS, visitare il sito Web SMS.

Nota SMS utilizza Microsoft Baseline Security Analyzer e lo strumento di rilevamento di Microsoft Office per offrire il più ampio supporto possibile per il rilevamento e la distribuzione degli aggiornamenti inclusi nei bollettini sulla sicurezza. Alcuni aggiornamenti non possono essere tuttavia rilevati tramite questi strumenti. In questi casi, per applicare gli aggiornamenti a computer specifici è possibile utilizzare le funzionalità di inventario di SMS. Per ulteriori informazioni su questa procedura, visitare il seguente sito Web. Per alcuni aggiornamenti per la protezione può essere necessario disporre di diritti amministrativi ed eseguire il riavvio del sistema. Per installare tali aggiornamenti è possibile utilizzare lo strumento Elevated Rights Deployment Tool, disponibile in SMS 2003 Administration Feature Pack e in SMS 2.0 Administration Feature Pack.

Dichiarazione di non responsabilità:

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

V1.0 (9 novembre 2004): pubblicazione del bollettino
V2.0 (9 novembre 2004): aggiornamento del bollettino con la notizia del rilascio di una versione aggiornata dell'aggiornamento della protezione ISA Server 2000 solo per la lingua tedesca. Questo problema non riguarda le versioni in altre lingue del presente aggiornamento per la protezione. Anche la sezione Aggiornamenti per la protezione sostituiti è stata rivista.
V3.0 (16 novembre 2004): aggiornamento del bollettino con la notizia del rilascio di versioni aggiornate degli aggiornamenti per la protezione ISA Server 2000 per tutte le lingue. Questi problemi riguardavano i clienti che utilizzano ISA Server 2000 Service Pack 1 o Windows 2000 Service Pack 3. Anche la sezione Aggiornamenti per la protezione sostituiti è stata rivista.