home *** CD-ROM | disk | FTP | other *** search

---

/ Windows NT Super Tune-Up Kit / PIE-WindowsNTSuperTuneUpKit-1997.iso / FIX_MSII / Q148188.TXT

< prev

Wrap

Text File  |  1996-03-12  |  5KB  |  134 lines

---

1.  
2. ---------------------------------------------------------------------------
3.                Microsoft Security .CMD /.BAT Patch for
4.                Internet Information Server version 1.0
5. ---------------------------------------------------------------------------
6.  
7. SUMMARY
8. =======
9.  
10. On Sunday, February 25, 1996, Microsoft was alerted to a newsgroup posting 
11. regarding a Internet Information Server (IIS) security exposure. This ".CMD 
12. /.BAT Bug" allows a complicated string of commands sent from a web browser 
13. to an IIS server to be executed on that server.
14.  
15. Malicious Internet users can use this capability to tamper with an IIS 
16. installation (it is highly unlikely that accidental modification to your 
17. IIS installation can happen as a result of this bug).
18.  
19. This problem is not unique to IIS -- similar problems exist with other 
20. Windows NT Web servers. As a result, the Microsoft Developer Relations 
21. group is in the process of notifying these vendors about the problem and 
22. providing guidance so that they can address it where appropriate.
23.  
24. RESOLUTION
25. ==========
26.  
27. Microsoft has developed a fix which provides a permanent solution to this 
28. problem. This fix is available now for you to download. It is important to 
29. note that you should always follow the safety guidelines outlined in the 
30. IIS Installation Guide regarding the securing of IIS against intruders, in 
31. order to minimize exposure to security problems. Regardless of whether or 
32. not you have followed these instructions, we recommend you download and 
33. install the .CMD /.BAT Patch on all IIS installations.
34.  
35. All versions of IIS downloaded from our online distribution sites after 
36. March 5, 1996 contains this fix.
37.  
38. This patch is available for each of the Windows NT platforms in the 
39. following locations:
40.  
41.    Microsoft's WWW server at the following URL:
42.    http://www.microsoft.com/infoserv/iisenhance.htm
43.    
44.    Microsoft's FTP server at the following URL:
45.    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/IIS/fixes/cmdbat/
46.  
47. To install the patch, download the executable for your platform. The 
48. executable automatically installs the fix when executed by an administrator 
49. on the IIS system.
50.  
51. To verify the installation of the .CMD /.BAT IIS patch, the system 
52. administrator should check the file properties on the file W3SVC.DLL (found 
53. in the server sub-directory of your IIS installation tree). The version ID 
54. for this file should be 1.0a (Security Update).
55.  
56. WORKAROUND
57. ==========
58.  
59. Microsoft strongly recommends installing this IIS .CMD /.BAT patch, 
60. however, if you are unable to download and install this patch in a timely 
61. manner, you can implement the following workaround until you are able to 
62. install the patch.
63.  
64. This workaround disables the ability to map either MS-DOS Batch files or 
65. Windows NT CMD files to the Windows NT Command Interpreter. If you have any 
66. CMD or BAT files active as scripts on your IIS installation, this 
67. workaround will disable them.
68.  
69. You should take note of the registry keys that are deleted in case you 
70. decide to re-enable them at a later date, after the IIS patch has been 
71. installed.
72.  
73. WARNING: Using Registry Editor incorrectly can cause serious, system-wide
74. problems that may require you to reinstall Windows NT to correct them.
75. Microsoft cannot guarantee that any problems resulting from the use of
76. Registry Editor can be solved. Use this tool at your own risk.
77.  
78. To disable MS-DOS batch and CMD scripts from your server:
79.  
80. 1. From the Windows NT File Manager File Menu, choose RUN
81.  
82. 2. In the RUN dialog box, type REGEDT32, and choose OK
83.  
84. 3. From the Window menu in Registry Editor (started in the previous step), 
85.    select the "HKEY_LOCAL_MACHINE on Local Machine" window
86.  
87. 4. The following steps will take you to the Script Mapping key for the Web    
88.    Server:
89.  
90.        a. Double click on SYSTEM
91.  
92.        b. Double click on CurrentControlSet
93.  
94.        c. Double click on Services
95.  
96.        d. Double click on W3SVC
97.  
98.        e. Double click on Parameters
99.  
100.        f. Select the Script Map key
101.  
102. 5. Select the entry in the Registry Editor right hand pane that starts 
103.    with ".BAT"
104.  
105. 6. From the Edit menu choose Delete
106.  
107. 7. Choose YES to confirm the deletion
108.  
109. 8. Select the entry in the Registry Editors right hand pane that starts 
110.    with ".CMD"
111.  
112. 9. From the Edit menu choose Delete
113.  
114. 10. Choose YES to confirm the deletion
115.  
116. 11. Exit the Registry Editor
117.  
118. 12. Stop and Restart the Internet Information Server
119.  
120. ==========================================================================
121.  
122. THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS 
123. IS" WITHOUT WARRANTY OF ANY KIND.  MICROSOFT DISCLAIMS ALL WARRANTIES, 
124. EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND 
125. FITNESS FOR A PARTICULAR PURPOSE.  IN NO EVENT SHALL MICROSOFT CORPORATION 
126. OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, 
127. INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL 
128. DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED 
129. OF THE POSSIBILITY OF SUCH DAMAGES.  SOME STATES DO NOT ALLOW THE EXCLUSION
130. OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE 
131. FOREGOING LIMITATION MAY NOT APPLY.
132.  
133. Copyright Microsoft Corporation 1995.
134.