|
Microsoft Commerce Server 存在多个执行攻击者任意代码漏洞
涉及程序:
Microsoft Commerce Server
描述:
Microsoft Commerce Server 存在多个执行攻击者任意代码漏洞
详细:
Microsoft Commerce Server 是用来建立电子商务站点的 WEB 服务器产品,感兴趣用户可浏览
http://www.microsoft.com/china/technet/prodtechnol/comm/evaluate/2002ovrv.asp
但是发现该产品存在四个漏洞:
1、在 Profile Service 一段处理某种形式的 API 调用代码中存在一个未经检查的缓冲区,攻击者利用此漏洞,能导致 Commerce Server 拒绝服务或执行任意代码。
2、Office Web Components (OWC) 包安装程序存在缓冲区溢出漏洞,利用此漏洞,攻击者能导致 Commerce Server 拒绝服务或以系统用户身份执行任意代码。
3、通过以一种特殊的方式激活 Office Web Components (OWC) 包安装程序,攻击者能在 Commerce Server 上执行任意代码,该漏洞仅影响 Commerce Server 2000
4、MS02-010 所讨论的 ISAPI 过滤器漏洞出现一个新的变种,该漏洞影响 Microsoft Commerce Server 2000,2002 两个版本
MS02-010 请参考:http://www.cnns.net/article/db/2109.htm
受影响系统:
Microsoft Commerce Server 2000
Microsoft Commerce Server 2002
解决方案:
下载安装补丁:
Microsoft Commerce Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39591
Microsoft Commerce Server 2002:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39550
|