发布日期：1999-12-16
更新日期：1999-12-17

受影响系统：

Infoseek Ultraseek 版本：2.1 - 3.1

Microsoft Windows IIS

描述：

---

Ultraseek是Infoseek  Corporation公司开发的搜索引擎软件。缺省地，Ultraseek搜索引擎监听8765端口，并允许Internet/Intranet用户通过HTTP接口根据提交的文档关键字进行搜索。Ultraseek 3.1是本文发稿时的最新版本。所有早于此3.1版本也极可能存在这个漏洞。

缓冲区溢出漏洞出现在 HTTP GET 命令中。参照如下方法，可以证实服务器是否存在漏洞：

C:\>telnet www.example.com 8765
send-> HEAD / HTTP/1.0

recv-> HTTP/1.0 200 OK
recv-> Server: Ultraseek/3.1 Python/1.5.1
recv-> Date: Thu, XX Dec 1999 23:59:42 GMT
recv-> Content-type: text/html
recv-> Content-length: 0

以下命令能对服务器进行DoS（拒绝服务）攻击：

C:\>telnet www.example.com 8765
GET /[overflow]/ HTTP/1.0


此时，两个pyseekd.exe (Ultraseek服务器进程)之一将关闭并重新初始化。因为它是一个服务程序，你可能不会意识到主机系统内存曾经出错。但只要仔细观察，就会发现这两个pyseekd.exe进程之一有了新的PID（进程ID）值。当出现此缓冲区溢出时，在"应用程序"日志中会记录有如下警告信息："Ultraseek Server: Warning: restarted 3.1.4"。而在Ultraseek http 访问日志 (C:\Program Files\Infoseek\UltraseekServer\data\logs) 中却没有任何记录。因此除非你的路由器记录了攻击者的IP和时间，否则无法知道攻击者是谁。

注：象IIS这种WEB服务，是在命令执行后才进行日志记录，这是不安全的。任何服务都应该先将命令记录到日志文件中，然后才执行它。这样，即使系统受到缓冲区溢出攻击，仍然有办法知道攻击者的IP地址。




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

这是一个典型的缓冲区溢出漏洞。以下网址提供了几个攻击程序样本：

Ultraseek2.1, With Sp5：
    http://www.ussrback.com/infoseek/sp5.exe

Ultraseek2.1, With Sp6：
    http://www.ussrback.com/infoseek/sp6.exe

Ultraseek2.1, With Sp5（源程序）：
    http://www.ussrback.com/infoseek/sp5.zip

Ultraseek2.1, With Sp6（源程序）：
    http://www.ussrback.com/infoseek/sp6.zip



建议：

---

下载补丁程序：

http://software.infoseek.com/products/ultraseek/upgrade_nt.htm
ftp://ftp.infoseek.com/pub/software/ultraseek-3.1.5.exe




浏览次数：7502
严重程度：0（网友投票）