● 紧急通知-WIN2K、NT的ASP远程溢出漏洞 (04-11-2 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ethanwy (朽木儿), 信区: Security
标  题: 紧急通知-WIN2K、NT的ASP远程溢出漏洞 (04-11-2002 ?
发信站: 荔园晨风BBS站 (Mon Apr 15 09:55:17 2002), 转信

安全威胁：严重威胁
　　安全影响：远程执行代码，能让IWAM_MACHINE用户获得特权
　　来源：Eeye
　　
　　受影响系统：
　　Microsoft Windows NT 4.0 Internet Information Services 4.0
　　Microsoft Windows 2000 Internet Information Services 5.0
　　
　　漏洞描述：
　　
　　　　在IIS的ISAPI筛选器中ASP（Active Server Pages）存在漏洞，并且默认情况
下被所有运行IIS的NT4和WINDOWS20000系统加载，该漏洞会让攻击者远程运行代码。这
个问题在接收恶意的form数据，在解码和解释中出现的。对于大块的form数据会强迫II
S用提供的4字节覆盖内存。
　　
　　　　这是一个非常严重的安全漏洞，建议所有使用IIS的管理员立刻安装微软提供的
最新安全补丁。
　　
　　　　下面的描述表明漏洞情况：
　　**************Begin Session****************
　　POST /iisstart.asp HTTP/1.1
　　Accept: */*
　　Host: eeye.com
　　Content-Type: application/x-www-form-urlencoded
　　Transfer-Encoding: chunked
　　
　　10
　　PADPADPADPADPADP
　　4
　　DATA
　　4
　　DEST
　　0
　　[enter]
　　[enter]
　　**************End Session******************
　　
　　　　上面的会话造成以外的处理执行dllhost子进程。并且会出现下面信息：
　　
　　DLLHOST.EXE - Application error
　　The instruction at 0x77fcb397 referenced memory at 0x54534544
　　
　　　　注意到：0X54534544正好是TSED的十六进制编码。DLLHOST.EXE进行试图复制
“DATA”到“DEST”。因为在0X54534544内存是不可写的，造成了一个权限错误。NT核
心的异常处理模块就会捕捉到这个异常并杀掉dllhost.exe进程。
　　
　　
　　解决方案：
　　
　　金山毒霸安全小组安全警告：
　　
　　微软新发布的IIS补丁弥补了最新的十个安全漏洞，这些漏洞非常严重和危险。请所
有IIS管理员立刻下载安全补丁。
　　
　　微软已经为此发布了一个安全公告（MS02-018）以及相应补丁程序：
　　http://www.microsoft.com/technet/security/bulletin/MS02-018.asp
　　
　　补丁下载：
　　
　　Microsoft IIS 4.0:
　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931
　　
　　Microsoft IIS 5.0:
　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824
　　
　　Microsoft IIS 5.1:
　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857

--

       \_\/                       .-==/~\
      ___/_,__,_ __ ____ ____ __)/   /{~}}
      ---,---,------------------,\'-' {{~}
                                  '-==\}/

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.142.51.66]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店