安全研究
安全漏洞
Microsoft FAT文件系统 IIS Unicode .asp泄漏源码漏洞
发布日期:2001-06-21
更新日期:2001-07-03
受影响系统:
Microsoft IIS 4.0
- Microsoft Windows NT 4.0 (FAT)
Microsoft IIS 5.0
- Microsoft Windows NT 2000 (FAT)
- Microsoft Windows NT 2000 + SP2 (FAT)
不受影响系统:
Microsoft IIS 4.0
- Microsoft Windows NT 4.0 (NTFS)
Microsoft IIS 5.0
- Microsoft Windows NT 2000 (NTFS)
- Microsoft Windows NT 2000 + SP2 (NTFS)
描述:
BUGTRAQ ID: 2909
CVE(CAN) ID:
CAN-2001-0709
IIS 在处理.asp请求时存在一个问题。正常情况下,当请求一个.asp文件时,IIS会确定
它是一个脚本,然后执行这个脚本。然而,如果目标主机使用的是FAT文件系统,那么当构
造一个特殊的web请求(.asp后缀使用unicode编码),IIS将不能正确处理请求,而是返回
asp文件的源代码。
<*来源:VIGILANTE (
hack.kampbjorn@vigilante.com) *>
建议:
临时解决方法:
将FAT分区转换为NTFS分区。
厂商补丁:
微软认为FAT分区不是一个安全的文件系统,IIS也不鼓励安装在FAT分区上。微软建议
使用NTFS文件系统。
浏览次数:4407
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |