首页 -> 安全研究

安全研究

安全漏洞
Infoseek Ultraseek 3.1远程缓冲区溢出漏洞

发布日期:1999-12-16
更新日期:1999-12-17

受影响系统:
Infoseek Ultraseek 版本:2.1 - 3.1

Microsoft Windows IIS
描述:

Ultraseek是Infoseek  Corporation公司开发的搜索引擎软件。缺省地,Ultraseek搜索引擎监听8765端口,并允许Internet/Intranet用户通过HTTP接口根据提交的文档关键字进行搜索。Ultraseek 3.1是本文发稿时的最新版本。所有早于此3.1版本也极可能存在这个漏洞。

缓冲区溢出漏洞出现在 HTTP GET 命令中。参照如下方法,可以证实服务器是否存在漏洞:

C:\>telnet www.example.com 8765
send-> HEAD / HTTP/1.0

recv-> HTTP/1.0 200 OK
recv-> Server: Ultraseek/3.1 Python/1.5.1
recv-> Date: Thu, XX Dec 1999 23:59:42 GMT
recv-> Content-type: text/html
recv-> Content-length: 0

以下命令能对服务器进行DoS(拒绝服务)攻击:

C:\>telnet www.example.com 8765
GET /[overflow]/ HTTP/1.0


此时,两个pyseekd.exe (Ultraseek服务器进程)之一将关闭并重新初始化。因为它是一个服务程序,你可能不会意识到主机系统内存曾经出错。但只要仔细观察,就会发现这两个pyseekd.exe进程之一有了新的PID(进程ID)值。当出现此缓冲区溢出时,在"应用程序"日志中会记录有如下警告信息:"Ultraseek Server: Warning: restarted 3.1.4"。而在Ultraseek http 访问日志 (C:\Program Files\Infoseek\UltraseekServer\data\logs) 中却没有任何记录。因此除非你的路由器记录了攻击者的IP和时间,否则无法知道攻击者是谁。

注:象IIS这种WEB服务,是在命令执行后才进行日志记录,这是不安全的。任何服务都应该先将命令记录到日志文件中,然后才执行它。这样,即使系统受到缓冲区溢出攻击,仍然有办法知道攻击者的IP地址。




测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!


这是一个典型的缓冲区溢出漏洞。以下网址提供了几个攻击程序样本:

Ultraseek2.1, With Sp5:
    http://www.ussrback.com/infoseek/sp5.exe

Ultraseek2.1, With Sp6:
    http://www.ussrback.com/infoseek/sp6.exe

Ultraseek2.1, With Sp5(源程序):
    http://www.ussrback.com/infoseek/sp5.zip

Ultraseek2.1, With Sp6(源程序):
    http://www.ussrback.com/infoseek/sp6.zip



建议:

下载补丁程序:

http://software.infoseek.com/products/ultraseek/upgrade_nt.htm
ftp://ftp.infoseek.com/pub/software/ultraseek-3.1.5.exe




浏览次数:7520
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障