一聚教程网:一个值得你收藏的教程网站

热门教程

最新的ASP、IIS安全漏洞

时间:2022-06-30 09:20:11 编辑:袖梨 来源:一聚教程网

作者:书生
  当ASP以其灵活、简单、实用、强大的特性迅速风靡全球网站的时候,其本身的一些缺陷、漏洞也正威胁着所有的网站开发者,继上一篇中介绍了一些IIS的系统漏洞及ASP的安全问题后,本期中将针对最新的ASP、IIS安全漏洞进行详细的探讨,请所有的ASP网站开发者密切关注,提高警惕。
  本月初微软再次被指责对其出品的WEB服务器软件的安全问题不加重视。在微软的流行产品IIS
SEVER4.0中被发现存在一种被称为“非法HTR请求”的缺陷。据微软称,此缺陷在特定情况下会导致任意代码都可以在服务器端运行。但用发现这一漏洞的Internet安全公司eEye的CEO
Firas Bushnaq的话说:这只是冰山一角而已。Bushnaq说,微软隐瞒了些情况,比如黑客可以利用这一漏洞对IIS服务器进行完全的控制,而恰恰许多电子商务站点是基于这套系统的。
   下面罗列出了该IIS系统漏洞的详细情况:
   IIS的最新安全漏洞
   受影响的系统:
   Internet Information Server 4.0 (IIS4)
   Microsoft Windows NT 4.0 SP3 Option Pack 4
   Microsoft Windows NT 4.0 SP4 Option Pack 4
   Microsoft Windows NT 4.0 SP5 Option Pack 4
   公布日期:6.8.1999
   microsoft已经证实了这个漏洞,但目前还没有提供可用的补丁程序。
   微软安全公告 (MS99-019):
   主题:"非正常的 HTR 请求" 漏洞
   发布时间: 6.15.1999
  摘要:
  微软已经证实在其发布的WEB服务器产品Internet Information Server
4.0中存在一个严重的系统漏洞,该漏洞导致对于IIS服务器的“服务拒绝攻击”,在这种情况下,可能导致任何2进制代码在服务器上运行。有关该漏洞的补丁将在近期发布,请所有IIS用户密切关注。
  漏洞介绍:
  IIS支持多种需要服务器端处理的文件类型,譬如:ASP、ASA、IDC、HTR,当一个WEB用户从客户端请求此类文件时,相应的DLL文件将自动对其进行处理。然而在ISM.DLL这个负责处理HTR文件的文件中被发现存在严重的安全漏洞。(注:HTR文件本身是用来远程管理用户密码的)
  该漏洞包含了一个在ISM.DLL中未经验证的缓冲,它可能对WEB服务器的安全运作造成两方面的威胁。首先,是来自服务拒绝攻击的威胁,一个来自非正常的对.HTR文件请求将导致缓存溢出,从而直接导致IIS崩溃,当这种情况发生时,无须重启服务器,但是IIS

热门栏目