[新聞]Buffer Overflow In IIS Indexing Service DLL

[winson]

2001/06/20: Buffer Overflow In IIS Indexing Service DLL

<簡述>

　

一個關於目錄服務(Indexing Services)的漏洞存在於在Windows NT, Windows 2000,以及 beta versions of Windows XP執行Microsoft IIS 4.0 以及 IIS 5.0. 這個漏洞讓遠端遠端入侵者在受害機器上執行任意程式.進而取得系統完全權限。

<影響系統>

Microsoft Windows NT 4.0 with IIS 4.0 or IIS 5.0 enabled
Microsoft Windows 2000 (Professional, Server, Advanced Server, Datacenter Server)
beta versions of Microsoft Windows XP
<說明>

　

這是在很多版本的IIS 4.0 以及 5.0有安裝的其中之一的ISAPI延伸所造成的遠端可

進行的緩衝區溢位漏洞 (這個ISAPI就是 IDQ.DLL). 利用這個弱點可使入侵者在系

統上執行任意程式. 基本上這就可以讓入侵者取得受害系統的完全控制權. 這比起

一般竄改網頁來的嚴重的多.

　

這個系統由eEye Digital Security發現. Microsoft 針對此漏洞發布了以下的公告:

http://www.microsoft.com/technet/sec...n/MS01-033.asp

受影響的Windows版本包括了Windows NT 4.0 (安裝 IIS 4.0 以及Index Server 2.0),

Windows 2000 (安裝IIS 5.0的Server 以及 Professional), 以及 Windows 2000 Datacenter

Server OEM 各版本; 然而並不是全部都是預定直就是有漏洞的. The beta versions of

Windows XP 則是預設就將漏洞開啟了.


形成弱點的條件是IIS server 執行對Internet Data Administration (.ida) 以及 Internet Data

Query (.idq)檔案的腳本程式對應(script mappings). 而目錄服務並不一定要被執行.

以下則是Microsoft 在 MS01-033 中所作的說明:


　

緩衝區溢位在任何目錄服務功能被要求執行前就已經發生了. 雖然idq.dll只是Index

Server/Indexing 服務的一個元件,目錄服務不一定要被執行攻擊者就可以利用這

個漏洞了.只要Internet Data Administration (.ida) 以及 Internet Data Query (.idq)檔案

的腳本程式有對應到(script mappings)存在,攻擊者就可開啟一個網頁Session,就可以

針對此漏洞進行攻擊.



<修正方式>

　

取得 Windows NT 4.0以及 Windows 2000 系統的修正檔:


For Windows NT 4.0:

http://www.microsoft.com/Downloads/R...eleaseID=30833


For Windows 2000 Professional, Server, and Advanced Server:

http://www.microsoft.com/Downloads/R...eleaseID=30800



These patches supersede the ones previously provided in Microsoft Security

Bulletins MS01-025 and MS00-006.

　

Windows 2000 Datacenter Server software 的使用者應聯絡他們的原製造商以取得修

正. 原製造商的列表如下:

http://www.microsoft.com/windows2000...asing/oems.asp



^_^新聞有點舊了
但各位也要注意!!~~

最近還是有很多人來問一些前鎮子的sadmind/IIS Worm
關於修正跟消息我都已經轉貼到本版了
請自己搜尋一下~~
最近駭客行為多到已經讓危機處理小組無法控制了!!~~
一些玩家也喜歡去弄一些小東西來搞別人的電腦~~
自己要小心防備
別被流彈攻擊了!!...