发布日期：2002-04-10
更新日期：2002-04-12

受影响系统：

Microsoft IIS 4.0
    - Microsoft Windows NT 4.0
Microsoft IIS 5.0
    - Microsoft Windows 2000 SP3
Microsoft IIS 5.1
    - Microsoft Windows XP

描述：

---

BUGTRAQ  ID: 4482
CVE(CAN) ID: CVE-2002-0073

Microsoft IIS（Internet Information Server）是MS Windows系统默认自带的Web服务器软件。

IIS 4.0/5.0/5.1自带FTP服务器错误处理不当，远程攻击者可能利用此漏洞对IIS服务器进行拒绝服务攻击，使服务器程序崩溃。

如果攻击者能与受影响服务器建立FTP会话并提交一个能创建畸形错误信息的状态请求，FTP代码中的漏洞可能使它无法正确地报错。FTP服务中的其他代码就会试图利用尚未初始化的数据，从而导致非法访问。结果可导致包括FTP在内的所有Web服务中断。

<*链接：http://www.microsoft.com/technet/security/bulletin/MS02-018.asp
        http://www.cert.org/advisories/CA-2002-09.html
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS02-018）以及相应补丁:
MS02-018：Cumulative Patch for Internet Information Services (Q319733)
链接：http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

补丁下载：

    * Microsoft IIS 4.0:
       http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931

     * Microsoft IIS 5.0:
       http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824

     * Microsoft IIS 5.1:
       http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857

浏览次数：4111
严重程度：0（网友投票）