发布日期: 2002-4-10

受影响的系统:

Microsoft IIS 4.0

- Microsoft Windows NT 4.0

Microsoft IIS 5.0

- Microsoft Windows 2000

描述:

--------------------------------------------------------------------------------

CVE(CAN) ID: CAN-2002-0147

Microsoft IIS（Internet Information Server）是MS Windows系统默认自带的Web服务器软件。

IIS 4.0/5.0/5.1 ASP (Active Server Pages) ISAPI过滤器存在远程缓冲区溢出漏洞，远程攻击者可以利用此漏洞得到主机本地普通用户访问权限。

默认安装的IIS 4.0/5.0/5.1服务器加载了ASP ISAPI过滤器，它在处理分块编码传送（chunked encoding transfer）机制的代码中存在一个缓冲区溢出漏洞。攻击者通过提交恶意分块编码的数据可以覆盖heap区的内存数据，从而改变程序执行流程，执行任意攻击者指定的代码。

此安全漏洞由微软自行发现，此漏洞与“Microsoft IIS 4.0/5.0 .asp映射分块编码远程缓冲区溢出漏洞”（ http://security.nsfocus.com/showQuery.asp?bugID=2551 ）有着相似的原理和后果。但是此漏洞同时也影响IIS 5.1，并且无法通过URLScan工具消除威胁。

如果攻击者使用随机数据，可能使IIS服务崩溃（IIS 5.0/5.1会自动重启）。如果精心构造发送的数据，也可能允许攻击者执行任意代码。

成功地利用这个漏洞，对于IIS 4.0，远程攻击者可以获取SYSTEM权限；对于IIS 5.0/5.1攻击者可以获取IWAM_computername用户的权限。

<*来源：Microsoft Security Team （secure@microsoft.com）

链接：http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

http://www.eeye.com/html/Research/Advisories/AD20020410.html

*>

--------------------------------------------------------------------------------

建议:

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果您不需要使用ASP脚本，您应该立刻删除".asp"的脚本映射。

可以参考如下步骤删除上述脚本映射：

1. 打开Internet 服务管理器

2. 右击你的服务器（例如 "* nsfocus"），在菜单中选择"属性"栏

3. 选择"主属性"

4. 选择 WWW 服务 | 编辑 | 主目录 | 配置

5. 在扩展名列表中删除".asp"项。

6. 保存设置,然后重启IIS服务。

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS02-018）以及相应补丁:

MS02-018：Cumulative Patch for Internet Information Services (Q319733)

链接：http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

补丁下载：

* Microsoft IIS 4.0:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931

* Microsoft IIS 5.0:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824

* Microsoft IIS 5.1:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857

主目录 分目录