|
Frontpage Server Extensions 缓冲区溢出/拒绝服务缺陷
涉及程序:
Frontpage Server Extensions
描述:
Frontpage Server Extensions 缓冲区溢出/拒绝服务缺陷
详细:
SmartHTML Interpreter (shtml.dll) 是FrontPage服务器扩展(FrontPage Server
Extensions)中的一个部件,它用于处理Web表单以及其他基于FrontPage的动态内容。
该部件含有一个缺陷,这个缺陷出现在服务器处理对一种特定Web文件的请求且此请求包含一些特定的字符时。该缺陷在两个不同版本的FrontPage Server
Extensions上分别有不同的影响。在FrontPage Server Extensions
2000上,这一特定的请求会导致大量甚至所有的CPU资源被占用,直至Web服务重新启动。攻击者可能利用这一薄弱环节对Web服务器实施拒绝服务攻击。在FrontPage
Server Extensions 2002上,这一特定的请求会导致缓冲区溢出,以致攻击者能够进而运行他自己的代码。
对于静态Web服务器,用户可以使用IIS Lockdown Tool来禁止SmartHTML Interpreter,这样即可消除本公告所描述的薄弱环节。
另外,虽然在IIS 4.0、5.0和5.1中FrontPage Server Extensions是默认安装的,但如果需要的话,用户可以卸载。卸载FPSE以后就不再有本公告所描述的薄弱环节。
受影响软件:
Microsoft FrontPage Server Extensions 2000
Microsoft FrontPage Server Extensions 2002
Microsoft Windows 2000 (包含有FSPE 2000)
Microsoft Windows XP (包含有 FPSE 2000)
攻击方法:
暂无有效攻击代码
解决方案:
下载补丁:
* Microsoft FrontPage Server Extensions 2002 for all platforms
http://download.microsoft.com/download/FrontPage2002/fpse1002/1/W98NT42KMeXP/EN-US/fpse1002.exe
* for SharePoint Team Services 2002
建议用户下载 Office XP SP-2 .
如果用户因为某些原因无法得到Office XP SP2, 建议用户下载上面FrontPage Server Extensions 2002 的补丁。
* Microsoft FrontPage Server Extension 2000 for NT4
http://download.microsoft.com/download/fp2000fd2000/Patch/1/W9XNT4Me/EN-US/fpse0901.exe
* Microsoft FrontPage Server Extensions 2000 for Windows XP
http://www.microsoft.com/downloads/release.asp?ReleaseID=42995
Windows Update
* Microsoft FrontPage Server Extensions 2000 for Windows 2000
http://www.microsoft.com/downloads/release.asp?ReleaseID=42954
Windows Update
|