发布日期：2001-06-21
更新日期：2001-07-03

受影响系统：

Microsoft IIS 4.0
  - Microsoft Windows NT 4.0 (FAT)
  
Microsoft IIS 5.0
  - Microsoft Windows NT 2000 (FAT)
  - Microsoft Windows NT 2000 + SP2 (FAT)

不受影响系统：

Microsoft IIS 4.0
  - Microsoft Windows NT 4.0 (NTFS)
  
Microsoft IIS 5.0
  - Microsoft Windows NT 2000 (NTFS)
  - Microsoft Windows NT 2000 + SP2 (NTFS)

描述：

---

BUGTRAQ  ID: 2909
CVE(CAN) ID: CAN-2001-0709

IIS 在处理.asp请求时存在一个问题。正常情况下，当请求一个.asp文件时，IIS会确定
它是一个脚本，然后执行这个脚本。然而，如果目标主机使用的是FAT文件系统,那么当构
造一个特殊的web请求(.asp后缀使用unicode编码)，IIS将不能正确处理请求，而是返回
asp文件的源代码。

<*来源：VIGILANTE (hack.kampbjorn@vigilante.com) *>



建议：

---

临时解决方法：

将FAT分区转换为NTFS分区。

厂商补丁：

微软认为FAT分区不是一个安全的文件系统，IIS也不鼓励安装在FAT分区上。微软建议
使用NTFS文件系统。


浏览次数：4407
严重程度：0（网友投票）