发布日期：2002-06-12
更新日期：2002-06-14

受影响系统：

Microsoft IIS SQLXML
    - Microsoft Windows NT
    - Microsoft Windows 2000 SP3

描述：

---

BUGTRAQ  ID: 5005
CVE(CAN) ID: CVE-2002-0187

SQLXML ISAPI可以使IIS服务器能够从SQL服务器接受或向其输出XML数据，从而以XML的格式返回查询请求。

SQLXML ISAPI实现上对用户输入缺乏完善的过滤，远程攻击者可能SQLXML对其他用户进行跨站脚本攻击。

SQLXML支持通过URL输入直接进行SQL查询，比如：

IIS-server/Northwind?sql=SELECT+contactname,+phone+FROM+Customers+FOR+XML

它将会以XML文档的形式返回查询结果。可以在请求URL中插入一个“root”参数，那么在返回的XML文档中会包含“root”值所指定的标记，程序未对“root”参数的值进行充分过滤，导致远程攻击者可以利用“root”参数值进行跨站脚本攻击。


<*来源：Matt Moore （matt@westpoint.ltd.uk）
  
  链接：http://www.westpoint.ltd.uk/advisories/wp-02-0007.txt
        http://www.microsoft.com/technet/security/bulletin/MS02-030.asp
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Matt Moore （matt@westpoint.ltd.uk）提供了如下测试方法：

IIS-server/Northwind?sql=SELECT+contactname,+phone+FROM+Customers+FOR+XML&root=<SCRIPT>alert(document.domain)</SCRIPT>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁止通过URL输入直接进行SQL查询。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS02-030）以及相应补丁:
MS02-030：Unchecked Buffer in SQLXML Could Lead to Code Execution (Q321911)
链接：http://www.microsoft.com/technet/security/bulletin/MS02-030.asp

补丁下载：

    * Microsoft SQLXML version shipping with SQL 2000 Gold:
       http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39547

     * Microsoft SQLXML version 2:
       http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38480

     * Microsoft SQLXML version 3:
       http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38481

浏览次数：2991
严重程度：0（网友投票）