Microsoft安全公告(MS00-060)

/ns/ld/win/data/20010107045922.htm

Microsoft安全公告(MS00-060)
- --------------------------------------
用于"IIS Cross-Site Scripting"漏洞的补丁
最先揭示时间: August 25, 2000
修正之间: November 2, 2000
摘要
=======
2000年8月25日,Microsoft发布了这个公告的最初版本,建议用户使用一个补丁,消除Microsoft(r) Internet Information Server
的一个漏洞。然而,随后在2000年11月2日又鉴别出这个漏洞的一个附加变体,公告随之更新了,并建议用户使用升级补丁。

新漏洞的范围实际上和最初报导的那个是一样的。 升级补丁消除了这个补丁所有知道的变体。 使用最初版本补丁的用户应该使用新版本
的补丁以确定他们得到了完全的保护。

关于这个漏洞常见的问题和补丁可以在下面的地址找到:
http://www.microsoft.com/technet/security/bulletin/fq00-060.asp


公告
=====
2000年2月20日,Microsoft和CERT公布了一个最近鉴定的影响所有WEB服务器产品的安全漏洞。
这个漏洞,称为Cross-Site Scripting (CSS),是由于在动态WEB页上使用WEB应用程序前没有正确验证输入而导致的。
如果一个恶意WEB站点操作员引诱一个用户到他的站点,并且确定一个第三方WEB站点易于受到CSS攻击,
他就可以用这个漏洞潜在地以其他WEB站点向一个WEB页"注入"script,然后交付给那个用户。
这样的结果是导致恶意拥护的script利用其他站点提供的信任在用户主机上运行了。

这个漏洞能影响运行在一个WEB服务器上的任何软件,接受用户输入,并盲目地生成WEB页。
Microsoft建议所有卖主检查他们的产品,看是否受到此漏洞的影响,并且也发起了一次检查看自己产品是否受影响。
IIS的一些特性里也发现受这个漏洞影响---有些是Microsoft内部组找到的,其他是用户识别的---这里的补丁可以消除所有这些问题。

受影响的应用程序版本:
==========================
- Microsoft Internet Information Server 4.0
- Microsoft Internet Information Server 5.0

有效的补丁:
==================
- Internet Information Server 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25534
- Internet Information Server 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25533

注意: 在Microsoft Download Center可以找到附加的安全补丁。

更多信息:
================
请参看下列更多与此公告有关的参考消息:
- 常问问题: Microsoft Security Bulletin MS00-060,
http://www.microsoft.com/technet/security/bulletin/fq00-060.asp

- Cross-Site Scripting安全漏洞上的信息,
http://www.microsoft.com/technet/security/crssite.asp
- CERT(r) Advisory CA-2000-02: 内含于客户端WEB请求的恶意HTML标签
http://www.cert.org/advisories/CA-2000-02.html
- Microsoft Knowledge Base article Q260347 discusses this issue and
will be available soon.
- Microsoft TechNet Security web site,
http://www.microsoft.com/technet/security/default.asp

在此公告中可以获得的支持
===============================
这是一个完全支持的补丁. 联系Microsoft Product Support Services的信息可以在这里找到:
http://support.microsoft.com/support/contact/default.asp

感谢
===============
Microsoft感谢Defcom(www.defcom.com)的Peter Grundl,感谢他给我们这篇公告报导新的漏洞变体以及和我们一起为保护用户工作。

修订本
=========
- August 25, 2000: 创建公告.
- November 2, 2000: 公告更新,宣布一个有效消除漏洞新变体的补丁

最后更新 November 2, 2000

(c) 2000 Microsoft Corporation. All rights reserved. Terms of use.