发布日期：2001-12-20
更新日期：2001-12-24

受影响系统：

Microsoft UPnP Service
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows XP
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98

描述：

---

BUGTRAQ  ID: 3723
CVE(CAN) ID: CVE-2001-0876

UPnP（Universal Plug and Play）是一种允许主机定位和使用局域网上设备的服务。UPnP在Windows XP和ME中被支持。

UPnP的实现存在缓冲区溢出问题，可以使攻击者通过溢出攻击远程以local system的身份在主机上执行任意指令。

当处理NOTIFY命令中的location字段时，如果IP地址、端口和文件名部分超长，就会发生缓冲区溢出。导致服务器程序进程内存空间的内容被覆盖。需要注意的是服务器程序监听广播和多播接口，这样攻击者可以同时攻击多个机器而不需要知道单个主机的IP地址。UPnP服务运行在SYSTEM的上下文，攻击者如果利用漏洞成功，可以完全控制主机。

<*来源：Eeye Digital Security
        Riley Hassell （riley@eeye.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0232.html
        http://www.eeye.com/html/Research/Advisories/AD20011220.html
        http://www.cert.org/advisories/CA-2001-37.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Riley Hassell （riley@eeye.com）提供了如下测试方法：

以10,000微秒间隔发送下列会话，其中<buffer>域长度要不断增加：

NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
CACHE-CONTROL: max-age=10
LOCATION: http://IPADDRESS:PORT/<buffer>.xml
NT: urn:schemas-upnp-org:device:InternetGatewayDevice:1
NTS: ssdp:alive
SERVER: EEYE/2001 UPnP/1.0 product/1.1
USN: uuid:EEYE

就可能导致远程Windows XP或者其他开启了UPnP服务的系统发生溢出。

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞被修补之前，暂时关闭UPnP服务

* 在网络边界的防火墙或者路由设备上限制对1900和5000端口的访问。这可以防止来自外部网络的攻击，但是不能防止内部网络用户发起攻击。

厂商补丁：

Microsoft
---------
微软已经为此发布了一个安全公告（MS01-059）以及相应补丁程序：
http://www.microsoft.com/technet/security/bulletin/MS01-059.asp

补丁下载：

. Microsoft Windows 98/98SE:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34991

. Microsoft Windows ME:
  http://download.microsoft.com/download/winme/Update/22940/WinMe/EN-US/314757USAM.EXE

. Microsoft Windows XP:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34951

浏览次数：4304
严重程度：0（网友投票）