发布日期：2002-01-16
更新日期：2002-01-22

受影响系统：

Microsoft IIS 4.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0
Symantec Norton Internet Security 2001
    - Microsoft Windows XP
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 3888
CVE(CAN) ID: CVE-2002-1694

多个厂商的应用软件包括（IIS 4.0和Norton Internet Security 2001)的日志文件属性设置不安全，允许拥有本地权限的非特权用户修改日志文件。

缺省情况下，微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中，该日志文件位于 %WinDir%\System32\LogFiles\W3SVC1目录下，每天都会创建一个日志文件。

WEB Server运行时，用户无法删除当天的日志文件，因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。

对于运行II4的Windows NT4 SP6a，这个日志文件的缺省权限是

Administrators    : Full Control
Everyone          : Change (RWXD)
IUSR_ComputerName : Full Control
System            : Full Control

即Everyone group的成员可以读、写、执行、删除该文件，而IIS内置帐号对这个日志文件拥有完全控制权限。然而，与服务控制管理数据库相关联的DACL禁止Everyone group成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是，由于inetinfo.exe打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数。其它应用程序可以使用 OpenFile Win32 API ，指定 (OF_REOPEN|OF_READWRITE) 参数，再次打开当天的日志文件。此时，不必停止W3SVC服务，就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时，就可利用这点清除日志。

比如，针对IIS4做完UNICODE攻击后，不必提升到SYSTEM权限停止W3SVC服务，就可以
擦除日志。注意，这需要IUSR_ComputerName(内置帐号)权限，而这可通过UNICODE漏
洞获取。

Norton Internet Security 2001 分别在如下日志文件中记录攻击和告警

    \Program Files\Norton Internet Security\iamfw.rel
    \Program Files\Norton Internet Security\iamalert.rel

如果所在文件系统是NTFS，这两个日志文件的缺省权限是
Everyone : Full Control

NIS 2001打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数，存在类似的安全问题。

这里暴露出来的问题不仅仅存在于Microsoft、Symantec的产品中，其它厂商的产品在打开敏感文件时，很可能也以类似方式使用 FILE_SHARE_READ 和 FILE_SHARE_WRITE
参数。



<*来源：Information Anarchy 2K01 （advisories@nmrc.org）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0196.html
        http://support.microsoft.com/default.aspx?scid=kb;EN-US;q315986
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 为了解决这个问题，微软建议针对相关目录(比如，W3svc、W3svc1、Msftpsvc1等等)做如下修正

1) 删除 IUSR_ComputerName 帐号
2) 使Everyone group对相应目录只读

做为开发人员，应该在打开日志文件时仅指定 FILE_SHARE_READ 参数。

同时，在NTFS文件系统上确认只有特权用户、组才能对日志文件做写操作。

厂商补丁：

Microsoft
---------
微软确认IIS 4的缺省安装受此问题影响，IIS 5的缺省安装不受此问题影响。微软将 在IIS Lockdown Tool中包含对日志文件权限设置的检查。此外微软建议阅读

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/iis4cl.asp

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q315986

Symantec
--------
Symantec认为这是一个低风险漏洞，并承诺尽快修正此问题。 我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.symantec.com/sabu/nis/nis_pe/

浏览次数：3618
严重程度：0（网友投票）