A Microsoft számú biztonsági közleménye MS07-018 - Kritikus

A Microsoft Content Management Server biztonsági rései távoli kódfuttatást tesznek lehetővé (925939)

Közzétéve: 2007. április 10. | Frissítve: 2007. június 12.

Verzió: 2.0

Összefoglalás

A dokumentum célközönsége: A Microsoft Content Management Server felhasználók

A biztonsági rés hatása: Távoli kódfuttatás

Súlyosság maximális foka :Kritikus

Javaslat: A felhasználóknak célszerű azonnal telepíteni a frissítést.

Felváltott biztonsági frissítések: Nincsenek

Ellenjavallat:: A Microsoft Tudásbázis 924429 számú cikkében olvasható, hogy a felhasználók a biztonsági frissítés telepítésekor milyen ismert problémákkal találkozhatnak. A cikkben a problémákra javasolt megoldások is szerepelnek. További információt a Microsoft Tudásbázis 924429 számú cikkében talál.

Tesztelt szoftverek és a biztonsági frissítés letöltési helyei:

Érintett szoftverek:

A Microsoft teszteléssel állapította meg a fent említett szoftverek egyes verzióinak érintettségét. Elképzelhető, hogy a szoftver egyéb verzióihoz már nem jár támogatás a biztonsági frissítések terén vagy érintettségük nem egyértelmű. Az egyes termékek és azok verzióinak támogatási időszakáról a Microsoft-termékek terméktámogatási időszakát ismertető webhelyen talál felvilágosítást.

Általános tudnivalók

Összefoglalás:

A tárgyalt frissítés két újonnan felfedezett, közvetlenül jelzett biztonsági rést szüntet meg. A biztonsági rést a közlemény „A biztonsági rés részletes ismertetése” című szakasza ismerteti.

A Microsoft a frissítés azonnali telepítését javasolja.

A súlyosság maximális foka és a biztonsági rés azonosítója:

A biztonsági rés azonosítójaA biztonsági rés hatásaMicrosoft Content Management Server 2001 Service Pack 1Microsoft Content Management Server 2002 Service Pack 2
A CMS memória-meghibásodási biztonsági rése - CVE-2007-0938Távoli kódfuttatásKritikusKritikus
A CMS idegen webhelyekről származó parancsfájlok futtatására és tartalomhamisításra lehetőséget adó biztonsági rése - CVE-2007-0939Adatokhoz való illetéktelen hozzáférés és tartalomhamisításFontosFontos
Az összes biztonsági rés együttes súlyossági foka Kritikus Kritikus

Ez a minősítés a biztonsági rés által érintett rendszerek típusain, a tipikus telepítési környezeteken, valamint a biztonsági rés kihasználásával az adott rendszerekben elérhető hatáson alapul.

Miért adta ki a Microsoft a közleményt ismét 2007. június 12-én?
A közleményt a Microsoft Tudásbázis 924429 számú cikkében ismertetett probléma megoldása érdekében ismét kiadtuk. A biztonsági frissítés ugyanis korábban nem számolt a CMS 2002 alapértelmezett elérési úttól eltérő helyre való telepítéseivel. A rendszer normális működésének visszaállítása érdekében a biztonsági frissítés eredeti verzióját telepítő felhasználóknak továbbra is a Microsoft Tudásbázis 924429 számú cikkének útmutatásait kell követniük.

Milyen biztonsági frissítéseket vált fel ez a frissítés?
Ez a frissítés nem vált fel korábbi biztonsági frissítést. Content Management Server 2001 futtatása esetén a jelen frissítés telepítése előtt érdemes telepíteni az MS03-002 frissítést.

A Microsoft Baseline Security Analyzer (MBSA) eszközzel megállapítható, hogy szükség van-e erre a frissítésre?
A következő táblázat a biztonsági frissítés MBSA észlelési jellemzőit foglalja össze.

TermékMBSA 1.2.1MBSA 2.0.1
Microsoft Content Management Server 2001 Service Pack 1IgenNem.
Microsoft Content Management Server 2002 Service Pack 2IgenIgen

Megjegyzés Az MBSA 1.2.1 az Office Detection Tool (ODT) eszköz beépített változatát alkalmazza, amely nem támogatja a frissítés távoli ellenőrzési funkcióját. Az MBSA-eszközről a további tudnivalókat az MBSA webhelyén találja.

Az MBSA-eszközről a további tudnivalókat az MBSA webhelyén találja. A Microsoft Update és az MBSA 2.0.1 által jelenleg nem észlelt programokkal kapcsolatban olvassa el a Microsoft Tudásbázis 895660 számú cikkét.

Részletes információt a Microsoft Tudásbázis 910723 számú cikkében talál: a havi „Útmutató az észleléshez és a telepítéshez” cikkek áttekintő listája.

Használhatom a Systems Management Server (SMS) eszközt a szükséges frissítések meghatározásához?
A következő táblázat a biztonsági frissítés SMS-észlelési jellemzőit foglalja össze.

TermékSMS 2.0SMS 2003
Microsoft Content Management Server 2001 Service Pack 1IgenNem.
Microsoft Content Management Server 2002 Service Pack 2IgenIgen

Az SMS 2.0 és az SMS 2003 Software Update Services (SUS) Feature Pack felhasználhatja az MBSA 1.2.1 az észlelésre, így az SMS-re is érvényesek az MBSA vonatkozásában korábban ismertetett felismerési korlátozások.

Az SMS 2.0 esetében a Security Update Inventory Tool (SUIT) mappában foglaló SMS SUS Feature Pack lehetőséget az SMS felhasználhatja biztonsági frissítések keresésére. SMS SUIT az MBSA 1.2.1 motorját használja a felderítéshez. A SUIT-szolgáltatás részletes ismertetése ezen a Microsoft webhelyen található. A SUIT korlátozásairól bővebben a Microsoft Tudásbázis 306460. cikkében olvashat. Az SMS SUS Feature Pack tartalmazza a Microsoft Office Inventory Tool eszközt a Microsoft Office alkalmazásokhoz szükséges frissítések felderítéséhez.

Az SMS 2003 esetében az SMS 2003 Inventory Tool (ITMU) eszköz az SMS-funkció által alkalmazható a Microsoft Update által felajánlott és a Windows Server Update Services által támogatott biztonsági frissítések észlelésére. Az SMS 2003 termékcsaládról további információt talál a Microsoft webhelyén:. Az SMS 2003 viszont a Microsoft Office Inventory Tool segítségével a Microsoft Office összetevőinek frissítési igényeit is meg tudja állapítani.

Az SMS-eszközről az SMS webhelyén talál tájékoztatást.

Részletes információt a Microsoft Tudásbázis 910723 számú cikkében talál: a havi „Útmutató az észleléshez és a telepítéshez” cikkek áttekintő listája.

A CMS memória-meghibásodási biztonsági rése - CVE-2007-0938:

A Content Management Server biztonsági rését a speciális HTTP-kérelmek kezelési módja okozza.

Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. Ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

A CMS memória-meghibásodási biztonsági rése - CVE-2007-0938 - súlyosságát enyhítő tényezők:

  • Microsoft Internet Information Service 6.0 rendszerben a W3WP.exe munkavégző folyamata alapértelmezésben alacsony jogosultságú folyamat, mely az integrált hálózati szolgáltatásfiókkal fut.
    Megjegyzés – Ez csak a Content Management Server 2002 alkalmazásra vonatkozik.
  • A Microsoft Content Management Server (MCMS) weboldalakat saját alkalmazáscsoportjukban konfigurált, az oldalakat más weboldalaktól elkülöníteni szándékozó felhasználók korlátozhatják a támadás hatékonyságát.

Lehetséges megoldások a CMS memória-meghibásodási biztonsági rés - CVE-2007-0938 - hibáinak kiküszöbölésére:

Nincs lehetséges megoldás a biztonsági rés megszüntetésére.

Gyakran ismételt kérdések a CMS memória-meghibásodási biztonsági réssel - CVE-2007-0938 kapcsolatban:

Mire terjed ki a biztonsági rés hatása? 
A Content Management Server biztonsági rését a speciális HTTP-kérelmek kezelési módja okozza. Ha egy támadó kihasználja a biztonsági rést, távolról teljes mértékben átveheti a rendszer irányítását. Ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Mi okozza a biztonsági rést? 
A HTTP-kérelmekben előforduló váratlan karakterek kezelési módja a Microsoft Content Management Server rendszerben távoli kódfuttatást lehetővé tévő biztonsági rést eredményez.

Mi a Microsoft Content Management Server? 
A Microsoft Content Management Server (MCMS) segítségével a felhasználók weboldalakat hozhatnak létre, telepíthetnek és tarthatnak karban. Az MCMS felhasználói képesek internetes tartalom létrehozására, kiadására és kezelésére, továbbá az oldalhoz kapcsolódó kiszolgáló-erőforrások kezelésére.

Microsoft Content Management Server 2001 rendszert használok, és testre szabtam a ManualLogin.asp fájlt. Mi a teendő? 
A jelen biztonsági frissítés nem frissíti a ManualLogin.asp fájlt. Ezért az ezen az oldalon végzett testreszabási műveletek a frissítés telepítése után is érvényben maradnak. Érdemes azonban a webhelyen végzett bármiféle karbantartás előtt biztonsági mentést készíteni az ASP-oldalakról.

Mire használhatja a biztonsági rést a támadó? 
A biztonsági rést kihasználó támadó teljes mértékben átveheti a megtámadott rendszer vezérlését.

Hogyan használhatja ki a támadó a biztonsági rést? 
A biztonsági rést kihasználó támadó speciális URL létrehozásával HTTP GET kérelmet küldhet a CMS rendszernek.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés? 
A Microsoft Content Management Server érintett verzióival karbantartott webhelyekre.

Mi a frissítés feladata? 
A frissítés azáltal szünteti meg a biztonsági rést, hogy módosítja a HTTP-kérelmek hitelesítési módját a Content Management Server rendszerben.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés az említett közlemény kiadásának idején? 
Nem. A Microsoft ezt a célt szolgáló tájékoztatáson keresztül szerzett tudomást a biztonsági résről. A Microsoft nem kapott olyan információt, hogy e közlemény eredeti változatának megjelenéséig a biztonsági rést a nyilvánosság tudomására hozták volna.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést? 
Nem. E közlemény eredeti verziójának kiadásáig a Microsoft nem kapott olyan információt, amely arra utalt volna, hogy ezt a biztonsági rést nyilvános támadásra használták, és nem találkozott olyan nyilvánosságra hozott leírásokkal, amelyek tartalmazták volna egy sikeres támadás forgatókönyvét.

Idegen webhelyekről származó parancsfájlok futtatására és tartalomhamisításra lehetőséget adó biztonsági rés CMS biztonsági résén belül - CVE-2007-0939:

A Microsoft Content Management Server (MCMS) rendszerben az idegen webhelyeken lévő parancsfájlok futtatását és a tartalomhamisítást lehetővé tevő biztonsági rés kihasználásával egy támadó ráveheti a felhasználót rosszindulatú parancsfájlok futtatására. Az így végrehajtott kártékony parancsfájl a felhasználó biztonsági környezetében fut. A biztonsági rés a felhasználó közreműködése nélkül nem használható ki. A biztonsági rést kihasználó támadó az érintett rendszereken található összes olyan adathoz hozzáférhet, melyhez a megtámadott felhasználó hozzáféréssel rendelkezett.

A biztonsági rés kihasználásával arra is lehetősége nyílhat a támadónak, hogy módosítsa a webböngésző és a közbenső proxykiszolgálók gyorsítótárát, és hamisított tartalmat helyezzen el bennük.

A CMS idegen webhelyekről származó parancsfájlok futtatására és tartalomhamisításra lehetőséget adó biztonsági résének (CVE-2007-0939) hibáit enyhítő tényezők:

  • E-mail küldésével a biztonsági rés nem használható ki automatikusan. A támadás sikerességéhez a felhasználónak rá kell kattintania az e-mail üzenetben küldött webes hivatkozásra.
  • A támadás csak akkor vezet sikerre, ha a támadó által létrehozott speciális URL-re kattintó felhasználó hozzáfér a CMS internetkiszolgálóhoz.
  • Azok a támadók, akik idegen webhelyekről származó parancsfájlok végrehajtására sikeresen használják ki a biztonsági rést, csak ugyanolyan jogosultságokat szereznek, mint amelyekkel a megtámadott felhasználó rendelkezik.
  • Nem érintik a hamisított tartalom ügyféli gyorsítótárbeli elhelyezésére irányuló támadási kísérletek azokat a felhasználókat, akik bejelölték a Titkosított lapokat ne mentsen a lemezre jelölőnégyzetet az Internet Explorer speciális beállításaiban, ha a webhelyhez SSL-protokollon keresztül csatlakoznak.
  • Az érintett webhelyeket SSL-kapcsolaton keresztül elérő felhasználók nincsenek kitéve a hamisított tartalmak közbenső proxykiszolgálók gyorsítótárába helyezésével kivitelezett támadások kockázatának. Ennek oka, hogy az SSL protokoll titkosítja a munkamenetek során átvitt adatokat, és ezeket az adatokat nem gyorsítótárazzák a közbenső proxykiszolgálók.
  • Ha sikerül is hamisított tartalmat helyeznie egy közbenső proxykiszolgáló gyorsítótárába a támadónak, akkor is igen nehéz megjósolnia, hogy mely felhasználók fogják megkapni a hamisított tartalmat a gyorsítótárból.

A CMS idegen webhelyekről származó parancsfájlok futtatására és tartalomhamisításra lehetőséget adó biztonsági résének (CVE-2007-0939) lehetséges megoldásai:

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ez a megoldás magát a biztonsági rést nem szüntetik meg, segít kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a funkcionalitást, azt a következő fejezetben jelezzük.

  • Az MCMS-webhely Igen-csak olvasható beállítása letiltja a tartalomkészítést és az MCMS-kiszolgáló belépési pontjához való hozzáférést a Site Manager eszközről

    Az MCMS-webhely Igen-csak olvasható beállítása letiltja a tartalomkészítést és az MCMS-kiszolgáló belépési pontjához való hozzáférést a Site Manager eszközről, de nem távolít el fájlokat a fájlrendszerből. Ha a Site Manager eszközzel szeretné módosítani egy csak olvasható MCMS-webhely beállításait, először írható-olvasható beállítást kell hozzárendelnie a Web Server Configuration eszközben.
    Az MCMS-webhely csak olvasható beállítása következménye, hogy az ügyféloldali SDAPI (vagy Site Manager) eszköz nem használható tartalomterjesztésre. A csak olvasható webhelyen a kiszolgálóoldali SDAPI eszközt kell tartalomterjesztés API céljára alkalmazni, amennyiben nincs külön írható-olvasható webes belépési pont.

    Az MCMS-webhely Igen-csak olvasható beállítása a következőképpen érhető el:

    1. Kattintson a Start, majd a Programok elemre, és válassza ki a Microsoft Content Management Server lehetőséget.
    2. Kattintson a Kiszolgáló-konfiguráló alkalmazás opcióra.
    3. Kattintson a Web laprész Beállítás elemére.
    4. A beállítani kívánt MCMS-webhelyhez tartozó párbeszédpanelen jelölje meg az Igen-csak olvasható opciót.
    5. OK gombbal mentse a módosításokat.

    A megoldás hatása: A felhasználók ezentúl nem tudnak tartalmat készíteni a Site Manager, illetve az MCMS Web Author eszközzel (nem lehet szerkesztési jogosultsággal bejelentkezni az MCMS-kiszolgálóra).

Gyakran feltett kérdések a Microsoft Content Management Servere idegen webhelyekről származó parancsfájlok futtatására és tartalomhamisításra lehetőséget adó biztonsági résével (CVE-2007-0939) kapcsolatban:

Mire terjed ki a biztonsági rés hatása? 
A Microsoft Content Management Server (MCMS) rendszerben idegen webhelyekről származó parancsfájlok futtatására és tartalomhamisításra lehetőséget adó biztonsági rést fedeztek fel. A biztonsági résen keresztül ügyféloldali parancsfájlt helyezhetnek el a felhasználó böngészőjében. Webalapú támadásnál az érintett weboldal felhasználói tartalomnak, pl. reklámoknak ad helyet. A tartalom különlegesen kialakított is lehet, így a biztonsági rés kihasználhatóvá válik.

A parancsfájl a felhasználó számítógépén a webhelyen végrehajtható bármilyen műveletet megtehet. A művelet lehet pl. webes munkamenet megfigyelése, információk továbbítása harmadik fél számára, kód futtatása a felhasználó rendszerén, cookie-k írása és olvasása.

Mi okozza a biztonsági rést? 
A Microsoft Content Management Server nem teljes mértékben működő hitelesítéséből adódó, idegen webhelyekről származó parancsfájlok futtatására (XSS) alkalmat adó biztonsági rését a HTML-átirányítási kérelem tartalmazza, még a böngészőre történő adatküldés előtti szakaszban.

Mi a Microsoft Content Management Server? 
A Microsoft Content Management Server (MCMS) segítségével a felhasználók weboldalakat hozhatnak létre, telepíthetnek és tarthatnak karban. Az MCMS felhasználói képesek internetes tartalom létrehozására, kiadására és kezelésére, továbbá az oldalhoz kapcsolódó kiszolgáló-erőforrások kezelésére.

Mit jelent az idegen webhelyeken lévő parancsfájlok futtatása? 
Az idegen webhelyen lévő parancsfájlok futtatása (XSS) egy biztonsági rés, amelyet kihasználva a támadó kódot helyezhet el a felhasználó munkamenetébe egy weboldalról. A biztonsági rés a HTML-oldalakat dinamikusan generáló webkiszolgálókat érinti. Ha ezek a kiszolgálók a böngészőbemenetet azokban a dinamikus oldalakban ágyazzák be, amelyeket a böngészőnek küldenek vissza, a kiszolgálókat illetéktelenül módosítani lehet úgy, hogy a dinamikus oldalak tartalmazzák a célzott tartalmat. Ez teret ad a rosszindulatú kódok végrehajtásának. A webböngészőknél a probléma huzamosabb ideig is fennállhat, mivel a rendszer alapvetően a gyakran látogatott oldalakat megbízhatóaknak tekinti. Az XSS-támadás a webhely tartalmát nem módosítja. Ehelyett azonban végrehajtható, új, rosszindulatú parancssort illeszt be a megbízható kiszolgálóhoz kapcsolódó adattartalomba.

Hogyan működik az idegen webhelyen lévő parancsfájlok futtatása? 
A weboldalak szöveget és HTML-jelölőket tartalmaznak. A szöveget és a HTML-jelölőket a kiszolgáló generálja és az ügyfél értelmezi őket. Ha megbízhatatlan tartalom kerül egy dinamikus oldalra, sem a kiszolgáló, sem az ügyfél nem rendelkezik elegendő információval arról, hogy észrevegye az eset megtörténtét és védekező lépéseket tegyen.

Microsoft Content Management Server 2001 rendszert használok, és testre szabtam a ManualLogin.asp fájlt. Mi a teendő? 
A jelen biztonsági frissítés nem frissíti a ManualLogin.asp fájlt. Ezért az ezen az oldalon végzett testreszabási műveletek a frissítés telepítése után is érvényben maradnak. Érdemes azonban a webhelyen végzett bármiféle karbantartás előtt biztonsági mentést készíteni az ASP-oldalakról.

Mire használhatja a biztonsági rést a támadó?
A biztonsági rést sikeresen kihasználó támadó ügyféloldali parancsfájlokat helyezhet el a felhasználó böngészőjében. A parancsfájl a tartalom meghamisítását, adatok kiszolgáltatását okozhatja, vagy bármilyen műveletet elvégezhet, amelyre a felhasználó jogosult az adott webhelyen. A biztonsági rés a felhasználó közreműködése nélkül nem használható ki. A biztonsági rés kihasználásával arra is lehetőség nyílhat hogy manipulálják a webböngésző és a közbenső proxykiszolgálók gyorsítótárait, és hamisított tartalmat helyezzenek el bennük.

Hogyan használhatja ki a támadó a biztonsági rést? 
E-mail alapú támadásnál a támadó a biztonsági rés kihasználására e speciálisan kialakított üzenetet küldhet olyan kiszolgáló felhasználójának, amely az érintett szoftveralkalmazást futtatja. A támadó ráveheti a felhasználót, hogy az e-mail üzenetben elhelyezett hivatkozásra kattintson.

Webalapú támadásnál a támadó a felhasználó böngészőjében ügyféloldali parancssort helyezhet el. A parancsfájl a tartalom meghamisítását, adatok kiszolgáltatását okozhatja, vagy bármilyen műveletet elvégezhet, amelyre a felhasználó jogosult az adott webhelyen. A biztonsági rés a felhasználó közreműködése nélkül nem használható ki.

A biztonsági rés kihasználásával arra is lehetőség nyílhat hogy módosítsák a webböngésző és a közbenső proxykiszolgálók gyorsítótárát, és hamisított tartalmat helyezzenek el bennük.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés? 
A Microsoft Content Management Server érintett verzióival karbantartott webhelyekre.

Kihasználható a biztonsági rés az interneten keresztül? 
Igen. A támadó az interneten keresztül kísérletet tehet a biztonsági rés kihasználására. A támadónak a sikeres támadáshoz ismernie kell a CMS-kiszolgáló teljes nevét.

Mi a frissítés feladata? 
A frissítés azáltal szünteti meg a biztonsági rést, hogy módosítja a HTTP-átirányítási kérelem hitelesítési módját a Content Management Server rendszerben.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés az említett közlemény kiadásának idején? 
Nem. A Microsoft ezt a célt szolgáló tájékoztatáson keresztül szerzett tudomást a biztonsági résről. A Microsoft nem kapott olyan információt, hogy e közlemény eredeti változatának megjelenéséig a biztonsági rést a nyilvánosság tudomására hozták volna. A biztonsági frissítés a közvetlenül jelzett, valamint a belső vizsgálatok eredményeképpen feltárt egyéb hiányosságokat szünteti meg.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést? 
Nem. E közlemény eredeti verziójának kiadásáig a Microsoft nem kapott olyan információt, amely arra utalt volna, hogy ezt a biztonsági rést nyilvános támadásra használták, és nem találkozott olyan nyilvánosságra hozott leírásokkal, amelyek tartalmazták volna egy sikeres támadás forgatókönyvét.

Érintett szoftverek:

Az érintett szoftverre vonatkozó biztonsági frissítésről a megfelelő szakaszból tudhat meg többet:

Content Management Server

Előfeltételek és további tudnivalók a frissítésről

Fontos: A frissítés telepítését megelőzően győződjön meg arról, hogy teljesülnek az alábbi feltételek:

  • A telepítéshez először telepíteni kell a Content Management Server 2001 Service Pack 1 verzióját. A frissítés telepítése előtt telepítse a Content Management Server 2001 Service Pack 1 rendszert.
  • A telepítéshez először telepíteni kell a Content Management Server 2002 Service Pack 2 verzióját. A frissítés telepítése előtt telepítse a Content Management Server 2002 Service Pack 2 rendszert.
  • A Content Management Server 2001 Service Pack 1 felhasználóknak érdemes a jelen frissítést megelőzően telepíteni az MS03-002 frissítést.

Közzététel jövőbeni szervizcsomagokban

A Content Management Server 2001 és a Content Management Server 2002 alkalmazásokhoz a Service Pack 2 az utolsó tervezett szervizcsomag.

Újraindítás szükségessége

Ha csökkenteni akarja a számítógép újraindítása szükségességének valószínűségét, a biztonsági frissítés telepítése előtt állítsa le az érintett fájlokat esetlegesen használó valamennyi érintett szolgáltatást és alkalmazást. További információkat arra vonatkozóan, hogy miért ajánlhatja fel a számítógép az újraindítást, a Microsoft Tudásbázis 887012 számú cikkében talál.

Információ az eltávolításhoz

A frissítés a telepítés után nem távolítható el. A frissítés telepítését megelőző állapotba csak úgy térhet vissza, hogy eltávolítja, majd az eredeti CD-ROM-ról újratelepíti a teljes alkalmazást.

Tudnivalók az automatikus telepítésről

Microsoft Update webhely

A biztonsági frissítés Microsoft Update webhelyről is elérhető lesz. A Microsoft Update egy helyen összesíti a Windows Update és az Office Update frissítéseit, és lehetőséget nyújt a fontos és biztonsági frissítések automatikus letöltésére és telepítésére. A frissítés telepítéséhez ajánlott a Microsoft Update webhely használata. A Microsoft Update webhely felismeri a számítógépen található telepítési összeállítást, és pontosan azokat a telepítéseket ajánlja fel, amelyekre szükség van a telepített rendszer teljes körű frissítéséhez.

Ahhoz, hogy a Microsoft Update webhely észlelje a számítógépre telepítendő szükséges frissítéseket, keresse fel a Microsoft Update webhelyet. A rendszer felkínálja az Express (Recommended) (Expressz telepítés (ajánlott)) vagy a Custom (Egyéni) lehetőségeket. A felismerés befejeztével jóváhagyását kérve megjelenik a javasolt frissítéseket tartalmazó lista. A folyamat befejezéséhez kattintson a Frissítések telepítése vagy A frissítések megtekintése és telepítése lehetőségre.

Telepítési információk

Ha az alkalmazást kiszolgálóról telepítette, a kiszolgáló rendszergazdájának a felügyeleti frissítéssel frissítenie kell a kiszolgálón lévő telepítési forrást, és ezt követően központi telepítéssel kell telepítenie azt a számítógépre.

Telepítési információ

A következő telepítési kapcsolók vonatkoznak a felügyeleti telepítésekre, mivel lehetővé teszik az adminisztrátor számára a fájlok biztonsági frissítésen belüli kicsomagolásának testre szabását.

A jelen biztonsági frissítés a Content Management Server 2001 Service Pack 1 következő telepítési kapcsolóit támogatja

A biztonsági frissítés támogatott telepítési kapcsolói
KapcsolóLeírás
/q Csendes üzemmód használata, vagyis az üzenetek elrejtése a fájlok kibontása közben.

A jelen biztonsági frissítés a Content Management Server 2002 Service Pack 1 következő telepítési kapcsolóit támogatja

A biztonsági frissítés támogatott telepítési kapcsolói
KapcsolóLeírás
/q Csendes üzemmód használata, vagyis az üzenetek elrejtése a fájlok kibontása közben.
/q:u Felhasználói csendes mód megadása, melynek során egyes párbeszédpanelek megjelennek.
/q:a A rendszergazdai csendes mód megadása esetén egyetlen párbeszédpanel sem jelenik meg a felhasználónak.
/t:path A fájlok kibontására használt célmappa megadása.
/c: A fájlok kibontása telepítés nélkül Ha a /t: elérési_út kapcsoló nincs megadva, a program kéri a célmappa megadását.
/c:path A szerző által definiált telepítési parancs felülbírálása. A telepítőhöz tartozó Setup.inf vagy .exe fájl elérési útjának és nevének megadása
/r:n A számítógép a telepítés után soha nem indul újra.
/r:i Újraindítás szükségessége esetén rákérdez az újraindításra, kivéve, ha a kapcsolót a /q:a kapcsolóval együtt adta meg.
/r:a A számítógép mindig újraindul a telepítést követően.
/r:s A számítógép újraindítása telepítés után a felhasználó megkérdezése nélkül
/n:v A verzióellenőrzés kihagyása (a program telepítése az esetleges meglévő verzióra).

Megjegyzés: A kapcsolók nem feltétlenül használhatók valamennyi frissítéssel. Ha adott kapcsoló nem használható, akkor az a funkció elengedhetetlen a frissítés megfelelő telepítéséhez. Az /n:v kapcsoló használata nem támogatott, és akár a rendszerindítás meghiúsulását is okozhatja. Ha a telepítés nem sikerül, segítségért forduljon a támogatási szakemberhez.

A támogatott telepítési kapcsolók bővebb ismertetését a Microsoft Tudásbázis 197147 számú cikke tartalmazza.

Tudnivalók a központi telepítésről

  1. Töltse le a Content Management Server 2001 Service Pack 1 vagy Content Management Server 2002 Service Pack 2 biztonsági frissítését.
  2. Válassza a Lemezre mentés lehetőséget, majd kattintson az OK gombra.
  3. Kattintson a Mentés gombra.
  4. A Windows Intézőben keresse meg a mentett fájlt tároló mappát, majd kattintson duplán a fájlra.
  5. Ha a frissítés telepítésének megkezdésére vonatkozó kérdés jelenik meg, kattintson az Igen gombra.
  6. A licencszerződés elfogadásához jelölje be az Igen választógombot.
  7. Az erre vonatkozó kérés megjelenésekor helyezze be az eredeti CD-lemezt, és kattintson az OK gombra.
  8. A sikeres telepítést közlő üzenet megjelenésekor kattintson az OK gombra.

Tudnivalók a telepítési fájlokról

A biztonsági frissítés angol nyelvű verziójában található fájlok a következő táblázatban ismertetett fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintésekor ezeket az adatokat a rendszer helyi időre konvertálja. A helyi idő és az egyezményes világidő közötti eltérésről a Vezérlőpultról elérhető Dátum és idő tulajdonságai párbeszédpanel Időzóna lapján tájékozódhat.

Content Management Server 2001 Service Pack 1:

FájlnévVerziószámDátumIdőpontMéret
Aesecurityclient.dll4.10.1157.02006. november 9.00:30124 704
Aesecurityservice.exe4.10.1157.02006. november 9.00:30154 400
Aeserverobject.dll4.10.1157.02006. november 9.00:301 157 400
Ncaspextensions.dll4.10.1157.02006. november 9.00:30117 536
Nrmsgres.dll4.10.1157.02006. november 9.00:30160 016
Reauthfilt.dll4.10.1157.02006. november 9.00:3050 448
Resolutionobjectmodel.dll4.10.1157.02006. november 9.00:301 133 352
Serverconfigurationapi.dll4.10.1157.02006. november 9.00:30641 320

Content Management Server 2002 Service Pack 2:

FájlnévVerziószámDátumIdőpontMéret
Activexediting.vbs2007. január 30.20:4717 857
Aejavaproxy.dll5.0.4484.02003. október 24.10:331 994 752
Aeserverobject.dll5.0.5317.02007. január 30.21:141 193 472
Authformclientie.js2007. január 30.20:477 422
Cms2002.xml2007. február 26.21:397 972
Console.js2007. január 30.20:479 501
Emitterthineditie_activex.inc2007. január 30.23:0524 371
Hlink.js2007. január 30.20:475 204
Microsoft.contentmanagement.common.dll5.0.5317.02007. január 30.21:1357 344
Microsoft.contentmanagement.developertools.visualstudio.dll5.0.5317.02007. január 30.21:17126 976
Microsoft.contentmanagement.webauthor.dll5.0.5317.02007. január 30.21:15397 312
Microsoft.contentmanagement.webcontrols.dll5.0.5317.02007. január 30.21:15204 800
Ncaspextensions.dll5.0.5317.02007. január 30.21:13164 864
Ncbmprdr.dll5.0.5317.02007. január 30.21:13149 504
Nrdcapplication.exe5.0.0.53172007. január 30.21:182 240 608
Nrdhtml.cab2007. január 30.21:30233 743
Nrsitedeployclient.dll5.0.5317.02007. január 30.21:15588 800
Nrsitedeployserver.dll5.0.5317.02007. január 30.21:152 051 072
Resolutionobjectmodel.dll5.0.5317.02007. január 30.21:141 485 312

A frissítés telepítésének ellenőrzése

  • Microsoft Baseline Security Analyzer

    A Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági frissítés telepítve van-e az érintett számítógépen. Lásd a következő gyakran feltett kérdést: „A Microsoft Baseline Security Analyzer (MBSA) eszközzel megállapítható, hogy szükség van-e erre a frissítésre?”, a közlemény gyakran feltett kérdéseket felsoroló részében.

  • A fájlverziószám ellenőrzése

    Megjegyzés: Mivel a Microsoft Windows operációs rendszernek több változata van, a lépések az egyes operációs rendszereken eltérőek lehetnek. Ilyen esetben a megfelelő lépések végrehajtásához az adott termék dokumentációja ad segítséget.

    1. Kattintson a Start menü Keresés parancsára.
    2. A Keresés eredménye ablak Keresés ablaktáblájában válassza a Minden mappa és fájl elemet.
    3. A fájlnév része vagy egésze mezőbe írja be a táblázatban szereplő megfelelő fájl nevét, majd kattintson a Keresés gombra.
    4. A fájlok listájában kattintson jobb gombbal a megfelelő fájl nevére, majd kattintson a Tulajdonságok parancsra.

      Megjegyzés: A telepített operációs rendszer vagy programok verziószámától függően elképzelhető, hogy a fájlinformációs táblázatban szereplő fájlok némelyike nem található meg a számítógépen.
    5. A Verzió lapon hasonlítsa össze a számítógépen lévő fájl verziószámát a megfelelő táblázatban szereplő fájl verziószámával.

      Megjegyzés: A telepítés során a fájl verziószámán kívül más attribútumok is megváltozhatnak. Ezen attribútumok fájlinformációs táblázatban szereplő adatokkal való összevetése a frissítés alkalmazásának nem ajánlott ellenőrzési módja. Előfordulhat az is, hogy a telepítés során bizonyos esetekben a rendszer fájlokat nevez át. Ha a fájl- vagy verzióadatok nem találhatók, ellenőrizze a frissítés telepített példányát egyéb módszerek segítségével.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Martyn Tovey (Netcraft) a Microsoft Content Management Service idegen webhelyekről származó parancsfájlok futtatására és tartalomhamisításra lehetőséget adó biztonsági résének (CVE-2007-0939) jelentéséért

Egyéb biztonsági frissítések beszerzése:

Az alábbi helyekről más típusú biztonsági problémákhoz szerezhetők be frissítések:

  • A biztonsági frissítések a Microsoft letöltőközpontjában érhetők el. legegyszerűbben a „biztonsági javítás” kifejezésre irányuló kulcsszavas kereséssel találhatja meg őket.
  • A kereskedelmi forgalomban kapható operációs rendszerekhez a Microsoft Update webhelyről tölthetők le frissítések.

Terméktámogatás:

  • Az Amerikai Egyesült Államokban és Kanadában technikai segítség igényelhető a Microsoft terméktámogatási szolgáltatásától, amelynek telefonszáma 1-866-PCSAFETY. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek.
  • Más országokban a helyi Microsoft-képviseletek nyújtanak támogatást. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek. A nemzetközi támogatási webhely felvilágosítást nyújt arról, támogatási kérdéseivel hogyan fordulhat a Microsofthoz.

Egyéb adatvédelmi és biztonsági források:

Software Update Services:

A Microsoft Software Update Services (SUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket a Windows 2000 és a Windows Server 2003 rendszerű kiszolgálókra, valamint a Windows 2000 Professional vagy a Windows XP Professional rendszert futtató asztali rendszerekre.

A biztonsági frissítések Software Update Services szolgáltatással történő központi telepítéséről a Software Update Services webhelyen tudhat meg többet.

Windows Server Update Services:

A Microsoft Software Update Services (WSUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket Windows 2000 és újabb operációs rendszerekhez, Office XP és újabb operációs rendszerekhez, Exchange Server 2003 és SQL Server 2000 Windows 2000 és újabb operációs rendszerekre.

A biztonsági frissítések Windows Server Update Services szolgáltatással történő központi telepítéséről részletesebben a Windows Server Update Services webhelyen olvashat.

Systems Management Server:

A Microsoft Systems Management Server (SMS) rendszer egy sokoldalúan beállítható vállalati megoldás, amely a frissítések kezelésére szolgál. Az SMS segítségével a rendszergazda megállapíthatja, hogy melyik Windows alapú számítógép szorul biztonsági frissítésre, és ezeket a frissítéseket szabályozott módon, a felhasználók minimális zavarásával, központilag telepítheti a vállalat teljes informatikai környezetében. Ha többet szeretne tudni arról, hogy a rendszergazdák miként telepíthetik a biztonsági frissítéseket az SMS 2003 alkalmazással, látogasson el az SMS 2003 Security Patch Management webhelyre. Az SMS 2.0-s verzióját használók a Software Updates Service Feature Pack szolgáltatásait is segítségül hívhatják a biztonsági frissítések központi telepítéséhez. Az SMS alkalmazásról további információt az SMS webhelyén talál.

Megjegyzés Az SMS a Microsoft Baseline Security Analyzer eszközön és a Microsoft Office észlelőeszközén, valamint az Enterprise Update Scan (Vállalati frissítés-ellenőrző) alkalmazáson keresztül széles körű támogatást nyújt a biztonsági közlemény által kínált javításokhoz. Előfordulhat, hogy egyes szoftverfrissítéseket ezek az eszközök nem észlelnek. Az SMS alkalmazás leltározási szolgáltatásai segítségével a rendszergazdák adott rendszereken hajthatják végre a frissítést. Az eljárásról további információt ezen a webhelyen talál. Egyes biztonsági frissítésekhez rendszergazdai jogosultságokra van szükség a számítógép újraindítása után. A rendszergazdák az SMS 2003 Administration Feature Pack és az SMS 2.0 Administration Feature Pack csomag részét képező Elevated Rights Deployment Tool nevű eszközzel telepíthetik ezeket a frissítéseket.

Felelősséget kizáró nyilatkozat:

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2007. április 10.): Közlemény kiadva.
  • 1.1 verzió (2007. május 1.): Közlemény frissítve A Microsoft Tudásbázis 893066 számú cikkében olvasható, hogy a felhasználók a biztonsági frissítés telepítésekor milyen, jelenleg már ismert problémákkal találkozhatnak.
  • 2.0 verzió (2007. június 12.): Közlemény frissítve: A közleményt a Microsoft Tudásbázis 924429 számú cikkében tárgyalt probléma megoldása érdekében ismét kiadtuk.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: