Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 

Boletín de seguridad de Microsoft MS04-017

 

Vulnerabilidad en el Visualizador Web de Crystal Reports, puede permitir la divulgación de información y negación del Servicio (842689).

Emitido: 9 de Junio de 2004

Versión: 1.0

Resumen

Quién debería leer este documento: Los clientes que utilizan Microsoft® Visual Studio .NET 2003, que utilizan Microsoft Office Outlook 2003 con Business Contact Manager o que utilizan Microsoft Business Solutions Customer Relationship Management (CRM) 1.2

Consecuencia de la vulnerabilidad: Divulgación de información y denegación de servicio

Gravedad máxima: Moderada

Recomendación: Los clientes deberían considerar la aplicación de la actualización de seguridad.

Actualizaciones de seguridad reemplazadas: Ninguna

Advertencias:

  • Los clientes que usen tanto Visual Studio .NET 2003 como Outlook 2003 con Business Contact Manager, y que tienen instalado Internet Information Services, deberían instalar la actualización para ambos productos.
  • La actualización para el componente dentro de Microsoft Business Solutions CRM 1.2 está disponible en el sitio Web de Business Objects.

Ubicaciones de descarga de la actualización de seguridad y productos probados:
Software afectado:

Software no afectado:

Todas las demás versiones admitidas de Visual Studio, Outlook y Microsoft Business Solutions CRM.

Nota Outlook 2003 con Business Contact Manager es un complemento para Outlook 2003 disponible en un CD independiente con Microsoft Office Small Business Edition 2003 y Microsoft Office Professional Edition 2003.
Los programas de esta lista han sido probados para determinar si las versiones están afectadas. Otras versiones puede que ya no sean compatibles con las actualizaciones de seguridad o que no se vean afectadas. Para determinar el ciclo de vida del soporte técnico de su producto y versión, visite el sitio Web Ciclo de vida del soporte técnico de Microsoft.

Información general

Resumen ejecutivo:
Esta actualización resuelve una vulnerabilidad recientemente descubierta en Crystal Reports y Crystal Enterprise de Business Objects. Microsoft Visual Studio .NET 2003 (todas las versiones) y Outlook 2003 con Business Contact Manager vuelven a distribuir Crystal Reports y, por lo tanto, están afectados por la vulnerabilidad. Microsoft Business Solutions CRM 1.2 vuelve a distribuir Crystal Enterprise, que está afectado de la misma manera. La vulnerabilidad se documenta en el apartado Detalles de la vulnerabilidad de este boletín.
Un intruso que consiguiera aprovechar la vulnerabilidad podría recuperar y eliminar archivos en un sistema afectado a través de los visores Web de Crystal Reports y Crystal Enterprise. El número de archivos a los que afectaría esta vulnerabilidad dependería del contexto de seguridad en el que se utilice el componente afectado utilizado por el visor Web de Crystal.
Nota Los sistemas sólo son vulnerables si tienen instalado Internet Information Services (IIS).
Microsoft recomienda a sus clientes que consideren la aplicación de la actualización de seguridad.

Gravedad e identificadores de vulnerabilidad:

Identificadores de vulnerabilidad
Consecuencia de la vulnerabilidad
Visual Studio .NET 2003
Outlook 2003 con Business Contact Manager
Microsoft Business Solutions CRM 1.2
Vulnerabilidad de recorrido de directorios: CAN-2004-0204
Divulgación de información
Denegación de servicio
Moderada
Moderada
Moderada

Esta clasificación está basada en los tipos de sistemas afectados por la vulnerabilidad, sus patrones típicos de implementación y el efecto que podría tener en ellos que un intruso la aprovechara.

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Se puede utilizar Microsoft Baseline Security Analyzer (MBSA) para determinar si esta actualización es necesaria?

No. MBSA no admite Outlook con Business Contact Manager, Visual Studio .NET 2003 o Microsoft Business Solutions CRM 1.2. Microsoft no tiene planes para desarrollar una herramienta de detección para determinar si un sistema es vulnerable.

¿Se puede utilizar Systems Management Server (SMS) para determinar si esta actualización es necesaria?

Sí. SMS puede ayudar a detectar si hay otros programas instalados que puedan tener instalada una versión del componente vulnerable. SMS puede buscar el archivo CrystalDecisions.Web.dll. Actualice todas las versiones de CrystalDecisions.Web.dll anteriores a 9.1.9800.9.

Detalles de la vulnerabilidad

Vulnerabilidad de recorrido de directorios - CAN-2004-0204:
En Crystal Reports y Crystal Enterprise existe una vulnerabilidad relativa al recorrido de directorios de Business Objects que podría permitir ataques de revelación de información y denegación de servicio en un sistema afectado. Un intruso que consiguiera aprovechar la vulnerabilidad podría recuperar y eliminar archivos en un sistema afectado a través de la interfaz Web de Crystal Reports y Crystal Enterprise.

Factores atenuantes de la vulnerabilidad de recorrido de directorios - CAN-2004- 0204:

  • Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

  • Los sistemas sólo son vulnerables si tienen instalado Internet Information Services (IIS).

  • El ataque sólo es efectivo contra archivos en los que el proceso de trabajo de IIS que aloje el archivo CrystalDecisions.Web.dll tenga permisos de eliminación.

Visual Studio .NET 2003

  • De forma predeterminada, el proceso de trabajo de IIS que aloja el componente usado para aprovechar esta vulnerabilidad se configura para ejecutarse en contextos de seguridad diferentes según el sistema operativo y la función del servidor. Todas estas cuentas son de un tipo limitado con acceso restringido a los recursos del sistema.

  • En Windows 2000 y Windows XP, la cuenta machine\ASPNET es el contexto de seguridad predeterminado.

  • En los controladores de dominio de Windows 2000, la cuenta IWAM_MACHINE es el contexto de seguridad predeterminado.

  • En Windows Server 2003 (en el modo de aislamiento de procesos de trabajo de IIS), la cuenta Servicio de red es el contexto de seguridad predeterminado.

  • En Windows Server 2003 (en el modo de compatibilidad de IIS5), la cuenta machine\ASPNET es el contexto de seguridad predeterminado.

  • En los controladores de dominio de Windows Server 2003, la cuenta Servicio de red es el contexto de seguridad predeterminado.

  • Los sistemas con Visual Studio .NET 2003 sólo serían vulnerables si IIS estuviera instalado en el sistema en el momento en que Visual Studio se instaló y si IIS estuviera todavía instalado.

Outlook 2003 con Business Contact Manager

  • De forma predeterminada, el proceso de trabajo de IIS que aloja el componente usado para aprovechar esta vulnerabilidad se configura para ejecutarse en contextos de seguridad diferentes según el sistema operativo y la función del servidor. Todas estas cuentas son de un tipo limitado con acceso restringido a los recursos del sistema.

  • Los sistemas con Outlook 2003 y Business Contact Manager sólo serían vulnerables si IIS estuviera presente en el sistema al mismo tiempo que se instaló Business Contact Manager.

  • Outlook con Business Contact Manager no forma parte de una instalación predeterminada de Outlook 2003 pero está disponible en un CD independiente junto con Microsoft Office Small Business Edition 2003 y Microsoft Office Professional Edition 2003.

Microsoft Business Solutions CRM 1.2

  • En Microsoft Business Solutions CRM 1.2, sólo los usuarios autenticados pueden tener acceso a la interfaz Web de Crystal Enterprise.

Soluciones provisionales para la vulnerabilidad de recorrido de directorios - CAN-2004- 0204:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

Detenga, deshabilite o elimine IIS

  • Puede detener IIS si emite el comando net stop w3svc en el símbolo del sistema.
  • Use el Administrador de IIS para deshabilitar o detener IIS.
  • Para eliminar IIS del sistema, utilice la herramienta Agregar o quitar programas del Panel de control. Para buscar IIS, haga clic en Agregar o quitar componentes de Windows.

Consecuencias de la solución provisional:

Si detiene w3svc, el sistema ya no servirá contenido Web. Si detiene o elimina IIS, el sistema no servirá contenido Web, FTP o NTP. El servicio SMTP tampoco estará disponible.

Para detener o pausar un sitio Web con IIS Manager

  • En Administrador de IIS, haga clic con el botón secundario del mouse en el sitio que desee detener o pausar, (en este caso, el directorio virtual crystalreportwebformviewer2) y haga clic en Detener o Pausar.

Consecuencias de la solución provisional: El sistema ya no proporcionará Crystal Reports a través de la interfaz Web de Crystal.

Para detener o pausar un sitio Web con un comando

  • Haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
  • En el símbolo del sistema, escriba cscript iisweb.vbs /acción "NombreDeSitioWeb" y presione ENTRAR. Sustituya acción por stop o pause. Sustituya NombreDeSitioWeb por el nombre del sitio Web real (por ejemplo "Sitio Web predeterminado").

Consecuencias de la solución provisional: El sistema ya no proporcionará Crystal Reports a través de la interfaz Web de Crystal.

Modifique el directorio virtual crystalreportwebformviewer2 sólo para permitir el acceso autenticado y autorizado

  • Utilice el Administrador de IIS para modificar el directorio virtual crystalreportwebformviewer2 y hacerlo más restrictivo. Por ejemplo, puede hacer que autorice únicamente el acceso del grupo de usuarios autenticados y desautorice el acceso anónimo.
    Consecuencias de la solución provisional: El acceso anónimo al visor Web de Crystal Reports ya no estaría disponible.

Restrinja la lista de control de acceso (ACL) del archivo crystalimagehandler.aspx para permitir únicamente el acceso de usuarios autenticados y autorizados

IIS permite controlar el acceso a los directorios y archivos del equipo local con todos los métodos de autenticación de Windows. Modifique la ACL del archivo crystalimagehandler.aspx para que sea más restrictiva. Por ejemplo, puede hacer que autorice únicamente el acceso a un grupo limitado de usuarios autenticados.

Nota Esta solución provisional tiene que usarse conjuntamente con la mencionada anteriormente, "Modifique el directorio virtual crystalreportwebformviewer2 sólo para permitir el acceso autenticado y autorizado".

Consecuencias de la solución provisional: Sólo los usuarios autenticados y autorizados podrán tener acceso al sitio Web

P+F de la vulnerabilidad de recorrido de directorios - CAN-2004- 0204:

¿Cuál es el alcance de esta vulnerabilidad?

En Crystal Reports y Crystal Enterprise existe una vulnerabilidad relativa al recorrido de directorios de Business Objects que podría permitir ataques de revelación de información y denegación de servicio en un sistema afectado. Un intruso que consiguiera aprovechar la vulnerabilidad podría recuperar y eliminar archivos en un sistema afectado a través de los visores Web de Crystal Reports y Crystal Enterprise.
De forma predeterminada, el proceso de trabajo de IIS de Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager que aloja el componente usado para aprovechar esta vulnerabilidad se configura para ejecutarse en contextos de seguridad diferentes según el sistema operativo y la función del servidor. Todas estas cuentas son de un tipo limitado con acceso restringido a los recursos del sistema.
El acceso a la interfaz Web de Crystal se limita a los usuarios autenticados de Microsoft Business Solutions CRM 1.2 a través de la pertenencia al grupo de usuarios de Windows. Durante la instalación inicial, puede elegir el contexto de seguridad en el que se debe ejecutar el servidor CRM: LocalSYSTEM, Network Service o un usuario de dominio. La opción predeterminada es LocalSYSTEM, que permitiría que los usuarios autenticados intentaran realizar este ataque contra un sistema que estuviera en este contexto de seguridad.


¿Cuál es la causa de esta vulnerabilidad?

Crystal Reports y Crystal Enterprise no validan correctamente la entrada antes de aceptar ciertas solicitudes HTTP.


¿Qué son Crystal Reports y Crystal Enterprise?

Crystal Reports y Crystal Enterprise son programas que ofrece Business Objects. Microsoft vuelve a distribuir una versión personalizada de Crystal Reports en Visual Studio .NET 2003 y en Outlook 2003 con Business Contact Manager. Microsoft vuelve a distribuir el SDK de Crystal Enterprise 9.0 en Microsoft Business Solutions CRM 1.2.

¿Qué es Visual Studio .NET 2003?

Visual Studio .NET 2003 es una herramienta de desarrollo para crear e integrar servicios Web XML y otras aplicaciones. Vuelve a distribuir una versión personalizada del diseñador de informes incrustado de Crystal Reports, el motor de tiempo de ejecución y los visores de informes.

¿Qué es Outlook 2003 con Business Contact Manager?

Outlook 2003 con Business Contact Manager es un complemento de Outlook 2003 que se puede usar para administrar contactos corporativos en una solución de administración de contactos para un único usuario. Está disponible en un CD independiente junto con Microsoft Office Small Business Edition 2003 y Microsoft Office Professional Edition 2003. Incluye el motor de tiempo de ejecución de Crystal Reports para Visual Studio .NET 2003.

¿Qué es Microsoft Business Solutions CRM 1.2?

Microsoft Business Solutions CRM permite a los usuarios desarrollar relaciones comerciales gracias a herramientas de elaboración de informes, una base de datos para realizar búsquedas, utilidades de administración de incidentes y de administración de oportunidades y ventajas. Microsoft Business Solutions CRM 1.2 vuelve a distribuir el SDK de Crystal Enterprise 9.0.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un intruso que consiguiera aprovechar la vulnerabilidad podría recuperar y eliminar archivos en un sistema afectado a través de la interfaz Web de Crystal Reports y Crystal Enterprise. Estos archivos tendrían que encontrarse en una ubicación conocida y el contexto de seguridad del proceso de trabajo de IIS que ejecuta ASP.NET requeriría permisos de eliminación en el archivo.

¿Quién podría aprovechar esta vulnerabilidad?

En Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager, cualquier usuario anónimo o autenticado que pudiera tener acceso al visor Web de Crystal Reports del sistema afectado podría intentar aprovechar esta vulnerabilidad.
En CRM 1.2, cualquier usuario autenticado que pudiera tener acceso al visor Web de Crystal Enterprise en el sistema afectado podría intentar aprovecharla.


¿Cómo podría aprovechar un intruso la vulnerabilidad?

Un intruso podía aprovechar la vulnerabilidad creando una solicitud HTTP ideada especialmente e intentando recuperar y eliminar archivos en un sistema afectado mediante los visores Web de Crystal Reports y Crystal Enterprise.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Para estar en situación de riesgo, los sistemas deben tener instalado IIS y habilitado en alguno de los escenarios siguientes:

  • Los sistemas que tengan instalado Visual Studio .NET 2003 sólo son vulnerables si tenían instalado IIS al instalar Visual Studio. Los componentes afectados son parte de una instalación predeterminada de Visual Studio .NET 2003.
  • Los sistemas con Outlook 2003 y Business Contact Manager sólo son vulnerables si tenían instalado IIS al instalar Business Contact Manager.
  • Los sistemas que tienen instalado Microsoft Business Solutions CRM 1.2 son vulnerables. Sin embargo, sólo los usuarios autenticados pueden tener acceso a la interfaz Web de Crystal Enterprise.

Utilizo Microsoft Business Solutions CRM 1.2 Sales para Outlook Client. ¿Sigo siendo vulnerable?

No. La vulnerabilidad no afecta a ese programa.

He usado Visual Studio .NET 2003 para crear una solución personalizada con Crystal Reports, ¿contiene la solución la vulnerabilidad?

Es posible. Si utilizó el módulo de combinación Crystal_Managed2003.msm de Visual Studio .NET 2003 en la solución personalizada, probablemente sea vulnerable. Debe utilizar las soluciones y migraciones indicadas en este boletín y comprobar cómo se aplican a su solución personalizada específica.

He usado el módulo de combinación Crystal_Managed2003.msm de Visual Studio .NET 2003 para crear una solución personalizada con Crystal Reports, ¿cómo la actualizo?

Debe visitar el sitio Web de Business Objects y comprobar si la actualización de seguridad para soluciones integradas con Visual Studio .NET 2003 funcionaría en su caso. No hemos probado esta actualización con su solución personalizada y, por lo tanto, ni Microsoft ni Business Objects pueden garantizarle la compatibilidad de la actualización. Le recomendamos que pruebe la actualización en un sistema no productivo antes de aplicarla a los sistemas en producción.
También debería aplicar la actualización de seguridad de Visual Studio al entorno de desarrollo y generar una compilación nueva de su solución personalizada para futuras implementaciones.

Utilizo Visual Studio .NET 2003 pero nunca he tenido instalado IIS. ¿Debo instalar la actualización?

Sí. Aunque su sistema no es vulnerable, cualquier solución personalizada que cree con el módulo de combinación Crystal_Managed2003.msm podría serlo.

Utilizo Visual Studio .NET 2003 pero no tengo instalado IIS. ¿Sigo siendo vulnerable?

No.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad al modificar la manera en que Crystal Reports y Crystal Enterprise validan las solicitudes HTTP.

En el momento de emitir este boletín de seguridad, ¿había recibido Microsoft algún informe de que se estaba utilizando esta vulnerabilidad?

No. En el momento de emitir este boletín de seguridad, Microsoft no había recibido información alguna que indicara que esta vulnerabilidad se había utilizado para atacar a los clientes y no tenía ninguna prueba de que se hubiera publicado código de tipo conceptual.

Información sobre la actualización de seguridad

Plataformas de instalación y requisitos previos:
Para obtener información sobre la actualización de seguridad específica para su plataforma, haga clic en el vínculo apropiado:

Visual Studio .NET 2003

Requisitos previos
Esta actualización de seguridad requiere una versión comercial de Visual Studio .NET 2003.
Inclusión en futuros Service Packs:
La actualización para este problema se incluirá en Visual Studio .NET 2003 Pack 1.
Información sobre la instalación
Esta actualización de seguridad admite los siguientes parámetros de instalación:
/? Muestra los parámetros del programa de instalación
/I Instala (acción predeterminada)
/U Desinstala (si está instalado)
/Q Modo silencioso
/L:logfile Genera un archivo de registro
/Ld Registra los detalles del paquete
/Lp Registra los productos afectados
/Lf Registra los archivos incluidos
/XP[:path] Extrae MSP
Información sobre la implementación
Para instalar la actualización de seguridad sin intervención del usuario, escriba la línea de comandos siguiente en el símbolo del sistema de Visual

Estudio. NET 2003:
VS7.1- KB 841870-X86.exe /q
Requisito de reinicio

Esta actualización de seguridad requiere reiniciar el sistema si el archivo que se actualiza se está utilizando cuando se aplique la actualización.
Información sobre la eliminación
Para eliminar esta actualización, utilice la herramienta Agregar o quitar programas del Panel de control.
Información sobre archivos
La versión en inglés de esta actualización tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Fecha
Hora
Versión
Tamaño
Nombre de archivo
12-May-04
20:56
9.1.9800.9
151.552
CrystalDecisions.Web.dll
13-May-04
19:25
N/D
507.392
Crystal_Managed2003.msm

 

Comprobación de la instalación de la actualización
También podría comprobar los archivos que ha instalado esta actualización de seguridad revisando las siguientes claves del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{981DFBF2-F25F-4C20-A2B3-AC64EAA6DD83}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Visual Studio\7.1\M841870


Outlook 2003 con Business Contact Manager está disponible como producto independiente y como componente de Office 2003
Requisitos y detalles de actualizaciones adicionales

Esta actualización de seguridad requiere una versión comercial de Outlook 2003 con Business Contact Manager. Además:
Debe tener instalado Microsoft Windows Installer 2.0. Microsoft Windows Server 2003, Windows XP y Microsoft Windows 2000 Service Pack 3 (SP3) incluyen Windows Installer 2.0 o una versión posterior.
Si tiene instalado Office 2003, debe ejecutar Microsoft Windows 2000 Service Pack 3 (SP3), Windows XP o un sistema operativo posterior.
Nota Los sistemas que tienen instalado Outlook 2003 con Business Contact Manager sólo son vulnerables si IIS estuviera presente en el sistema al mismo tiempo que se instaló Business Contact Manager y si sigue instalado y habilitado.

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en todos los Service Packs futuros de Outlook 2003 con Business Contact Manager.
Requisito de reinicio
No es necesario reiniciar.
Información sobre la eliminación
Una vez instalada la actualización, ésta no se puede desinstalar. Para revertir a una instalación anterior a la de la actualización, debe quitar la aplicación y, después, instalarla de nuevo desde el CD-ROM original.


Información sobre la instalación del cliente
Información sobre la implementación del cliente
1-Descargue la versión de cliente de esta actualización de seguridad.

2-Haga clic en Guardar este programa en disco, elija una carpeta y haga clic en Aceptar.

3-Haga clic en Guardar para guardar el archivo BusinessContactManager-kb842496-fullfile-enu.exe en el disco.

4-Con el Explorador de Windows, busque la carpeta que contenga el archivo guardado, haga doble clic en él y en BusinessContactManager-kb842496-fullfile-enu.exe para iniciar el programa de instalación.
Siga las instrucciones que aparecen en la pantalla para completar la instalación.

5-Haga clic en Sí para aceptar el contrato de licencia.

6-Siga las instrucciones del programa BCM Crystal Hotfix Setup Wizard para completar la instalación.

7-Abra Outlook 2003 y elija el perfil de Outlook que desee que se utilice con Business Contact Manager.

Nota Si ya se ha instalado la revisión de seguridad en el equipo, aparecerá un mensaje de error similar al siguiente: Esta actualización ya se ha aplicado o forma parte de una actualización que ya se ha aplicado.
Información de archivos de instalación del cliente

La versión en inglés de esta actualización tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Outlook 2003 con Business Contact Manager:

Fecha
Hora Versión Tamaño Nombre de archivo
20-Oct-03 13:21 N/A 159,213 BCMHelp.chm
13-May-04 14:23 1.00.2002.7 26,112 Common.dll
12-May-04 13:56 9.01.9800.9 151,552 CrystalDecisions.Web.dll
27-Oct-03 15:48 1.00.2002.4 45,568 IrisMS32.dll
27-Oct-03 12:37 1.00.2002.4 876,544 Microsoft.BusinessSolutions.eCRM.OutlookAddIn.dll
27-Oct-03 12:37 1.00.2002.4 823,296 Microsoft.BusinessSolutions.eCRM.OutlookAddIn.CSUtils.dll
27-Oct-03 12:36 1.00.2002.4 397,312 Microsoft.Interop.Mapi.Impl.dll

 

Comprobación de la instalación de la actualización
Nota Puesto que existen varias versiones de Microsoft Windows, los pasos que se indican a continuación pueden ser diferentes en su equipo. En tal caso, consulte la documentación del producto para completarlos.


1-Haga clic en Inicio y, después, en Buscar.

2-En la ventana Resultados de la búsqueda, haga clic en Todos los archivos y carpetas del Asistente para búsqueda.

3-En el cuadro Todo o parte del nombre de archivo, escriba un nombre de archivo de la tabla de información de archivo correspondiente y, a continuación, haga clic en Buscar.

4-En la lista de archivos, haga clic con el botón secundario del mouse en un nombre de archivo de la tabla de información de archivos correspondiente y, después, haga clic en Propiedades.

5-En la ficha Versión, determine la versión del archivo instalado en el equipo comparándola con la versión documentada en la tabla de información de archivos apropiada.

Requisito de reinicio
Esta actualización de seguridad no requiere reiniciar el sistema.
Información sobre la eliminación
Una vez instalada la actualización, ésta no se puede desinstalar. Para revertir a una instalación anterior a la de la actualización, debe quitar la aplicación y, después, instalarla de nuevo desde el CD-ROM original.

Información sobre la instalación alternativa

Puede automatizar parcialmente la instalación de esta actualización de seguridad con la información siguiente.
Información sobre la instalación
Puede utilizar los siguientes parámetros de instalación para personalizar la forma en que se extraen los archivos de la actualización de seguridad:
/? Muestra las opciones de la línea de comandos
/Q Especifica el modo silencioso o suprime los mensajes al extraer los archivos
/T: <ruta de acceso completa> Especifica la carpeta de destino para los archivos extraídos
/C Extrae los archivos sin instalarlos Si no se especifica /T: rutaDeAcceso, aparece un mensaje para pedir la carpeta de destino
/C: <Cmd> Reemplaza el comando de instalación definido por el autor Especifica la ruta de acceso y el nombre del archivo .inf o .exe de la instalación.
Para obtener información adicional acerca de los parámetros de instalación admitidos, vea el artículo 197147 de Microsoft Knowledge Base.
Información sobre la implementación
Para actualizar la instalación administrativa, siga estos pasos:


1-Descargue la versión de cliente de esta actualización de seguridad.

2-Haga clic en Guardar este programa en disco, elija una carpeta y haga clic en Aceptar

3-Haga clic en Guardar para guardar el archivo BusinessContactManager-kb842496-fullfile-enu.exe en el disco.

4-Con el Explorador de Windows, busque la carpeta que contenga el archivo guardado y haga doble clic en él.

5-Si aparece un mensaje para instalar la actualización, haga clic en Sí.

6-Haga clic en Sí para aceptar el contrato de licencia.

7-En el cuadro Escriba la ubicación de destino de los archivos extraídos, escriba la ubicación y haga clic en Aceptar.

8-Haga clic en Sí cuando aparezca el mensaje para crear la carpeta.

9-Abra el símbolo del sistema y busque la carpeta que contenga los archivos extraídos.

10-Ejecute el comando siguiente para realizar una instalación silenciosa de la actualización de seguridad:
Msiexec /p [ruta de acceso del archivo MSP] /q
Por ejemplo:
Msiexec /p C:\temp\BusinessContactManager-FullFile-ENU.msp /q

Customer Relationship Management 1.2
Requisitos previos
Esta actualización de seguridad requiere Microsoft Business Solutions CRM 1.2.
Inclusión en futuros Service Packs:
La actualización para este problema se incluirá en todos los Service Packs futuros de Microsoft Business Solutions CRM 1.2.
Disponibilidad de la actualización:
La actualización para los componentes de Crystal Enterprise de Business Objects incluidos en Microsoft Business Solutions CRM 1.2 están disponibles en el sitio Web de Business Objects.

Agradecimientos
Microsoft agradece a todas las personas que han trabajado con nosotros para proteger a los clientes:

  • Business Objects por trabajar con nosotros en la vulnerabilidad de recorrido de directorios (CAN-2004-0204).

Obtención de otras actualizaciones de seguridad:

Las actualizaciones para otros problemas de seguridad están disponibles en las ubicaciones siguientes:

  • En el Centro de descargas de Microsoft están disponibles las actualizaciones de seguridad: Si realiza una búsqueda de las palabras clave "revisión de seguridad" podrá encontrarlas fácilmente
  • Las actualizaciones de seguridad para plataformas de usuarios están disponibles en el sitio Web Windows Update.

Soporte técnico:

  • Los clientes de EE.UU. y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas.

  • Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener información acerca de cómo ponerse en contacto con el soporte técnico de Microsoft, visite el sitio Web de soporte técnico internacional, en inglés.

  • El soporte técnico de Microsoft Business Solutions CRM 1.2 está disponible a través de Microsoft Business Solutions. Las consultas relativas a los componentes de Crystal Enterprise de Business Objects incluidos en Microsoft Business Solutions CRM 1.2 están disponibles en el sitio Web de Business Objects.

 

 

 

 

 

 

 

Recursos de seguridad:

Software Update Services (SUS):
Los servicios de actualización de software de Microsoft (SUS, Software Update Services) permiten a los administradores implementar con rapidez y confiabilidad las actualizaciones críticas y de seguridad más recientes en servidores basados en Windows® 2000 y Windows Server™ 2003, y en sistemas de escritorio donde se ejecute Windows 2000 Professional o Windows XP Professional.
Para obtener más información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio Web de Software Update Services.

Systems Management Server (SMS)
Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para la administración de las actualizaciones. SMS permite a los administradores identificar los sistemas basados en Windows que necesitan actualizaciones de seguridad, así como realizar la implementación controlada de las actualizaciones en la empresa con una repercusión mínima para los usuarios finales. Para obtener más información acerca de cómo usar SMS 2003 para implementar actualizaciones de seguridad, visite el sitio Web SMS 2003 Security Patch Management, en inglés. Los usuarios de SMS 2.0 también pueden utilizar Software Updates Service Feature Pack, en inglés, para ayudar a implementar las actualizaciones de seguridad. Para obtener información acerca de SMS, visite el sitio Web de SMS, en inglés.

Nota SMS utiliza las herramientas Microsoft Baseline Security Analyzer y Microsoft Office Detection Tool como ayuda para proporcionar un amplio soporte técnico para la detección e implementación de las actualizaciones indicadas en los boletines de seguridad. Puede que estas herramientas no detecten algunas actualizaciones de software. En estos casos, las capacidades de inventario de SMS pueden utilizarse en las actualizaciones de equipos específicos. Para obtener más información acerca de este procedimiento, consulte el siguiente Sitio Web, en inglés. Algunas actualizaciones de seguridad pueden requerir derechos administrativos y que se reinicie el sistema. La utilidad Elevated Rights Deployment Tool (disponible en el SMS 2003 Administration Feature Pack y el SMS 2.0 Administration Feature Pack) puede utilizarse para la instalación de estas actualizaciones.

Renuncia de responsabilidad:
La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no serle aplicable.

Revisiones:

  • V1.0 (8 de junio de 2004): Publicación del boletín

 

 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 
©

©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft