安全研究
安全漏洞
Microsoft活动目录零页面长度查询漏洞
发布日期:2002-05-23
更新日期:2002-05-28
受影响系统:Microsoft Active Directory
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
描述:
BUGTRAQ ID:
4804
Windows Active Directory是一款Microsoft公开提供的强大的目录服务系统。
Windows Active Directory在执行paged search时存在漏洞,可导致远程攻击者进行拒绝服务攻击。
执行paged search时,Windows Active Directory没有对简单页面大小值为零的情况进行正确充分的检查,当攻击者传递页面长度为零值,并
提交一个比较大的请求时,可导致Active Directory服务崩溃,产生拒绝服务攻击。
此问题重现于通过GSS-API使用Kerberos V验证访问Active Directory服务的情况下。
<*来源:Jonathan Lamberson (
jlambers@umich.edu)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-05/0203.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用访问控制限制非法用户访问。
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/浏览次数:3086
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |