КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи ╧ 15 || Новости СПб || Новости России || Новости мира
Вышел первый пакет обновлений для Windows 2000. Он исправляет более 35 ошибок в системе безопасности, утечки памяти и несколько ошибок, приводящих к аварийному завершению работы системы. Он также содержит Outlook Express 5.5, Internet Explorer 5.5 и дополнения в системе защиты. Новый пакет обновлений устраняет некоторые проблемы с инсталляцией драйверов сторонних производителей. Интересной особенностью является то, что после изменения компонентов пользователю не придется переустанавливать пакет обновлений, система сама найдет и установит необходимые файлы. Windows 2000 Service Pack 1 распространяется в 2 вариантах: Express и Network Installation. Express Installation занимает, как минимум, 13 МБ и позволяет загружать только те файлы, которые необходимы. Network Installation занимает около 87 МБ, содержит полный набор файлов и предназначен для обновления парка компьютеров. Российские специалисты не рекомендуют загружать Express Installation, так как пользователю придется заново загружать необходимые компоненты из сети в случае переустановки системы, что требует значительного времени и быстрого канала. Windows 2000 Service Pack 1 является рекомендуемым обновлением и доступен на www.microsoft.com/windows2000/downloads/recommended/sp1/.
Обнаружено несколько уязвимостей в Internet Information Server. С их помощью злоумышленник может аварийно остановить Web-сервер и получить некоторые файлы. Одна ошибка содержится в административном скрипте, который остается при обновлении IIS 3.0. Он некорректно обрабатывает ситуацию, когда ожидаемый аргумент пропущен и зацикливается, забирая 100% ресурсов сервера. Кроме того, разрешения по умолчанию на этот и некоторые другие скрпиты установлены неверно, что позволяет злоумышленнику просмотреть структуру каталогов на сервере. Другая ошибка заключается в неправильной обработке HTR-скриптов. С ее помощью можно просматривать некоторые файлы с сервера. Специалисты советуют вообще отключить обработку HTR-скриптов. Корпорация Microsoft выпустила исправления. Для IIS 4.0 они доступны на www.microsoft.com/downloads/release.asp?releaseid=22709,а для IIS 5.0 на www.microsoft.com/downloads/release.asp?releaseid=22708. Еще одна уязвимость: IIS заключается в возможности получить дополнительные разрешения на определенные типы файлов, размещаемых на Web-сервере. Если при определенных условиях послать неправильно сформированный URL, злоумышленник сможет получить дополнительные привилегии на CGI-скрипты и некоторые другие файлы. Исправление этой ошибки для IIS 4.0 доступно на www.microsoft.com/downloads/release.asp?releaseid=23667, а для IIS 5.0 на www.microsoft.com/downloads/release.asp?releaseid=23665. Еще одна ошибка в безопасности IIS заключается в потенциальной возможности получить исходный код ISAPI-расширения. Это происходит при получении заголовка с определенным набором знаков на конце. Ошибка устраняется с помощью исправления www.microsoft.com/downloads/release.asp?releaseid=23769.
Обнаружена ошибка в реализации Telnet-сервиса поставляющегося совместно с Windows 2000. Если пользователь пошлет в порт Telnet (23 TCP-порт) большое число случайных данных, сервис будет аварийно остановлен. Эта ошибка никак не влияет на сервер в целом, она только лишает администратора возможности воспользоваться Telnet-сервисом. Microsoft исправила ошибку и обновила Telnet-сервис. Обновление доступно на: www.microsoft.com/downloads/release.asp?releaseid=22753.
Злоумышленник, вошедший на компьютер пользователя с клавиатуры, может запустить приложение, которое перехватит именованный канал, регистрируемый менеджером сервисов при запуске. Таким образом, это приложение получит возможность функционировать в контексте ОС, и злоумышленник приобретет все соответствующие привилегии. Наибольшему риску подвержены рабочие станции и терминальные серверы. Рекомендуемое исправление доступно на www.microsoft.com/downloads/release.asp?releaseid=23432.
КОМПЬЮТЕР-ИНФОРМ