Microsoft Commerce Server 2000 OWC包安装程序远程缓冲区溢出漏洞(MS02-033)
发布日期:2002-06-26
更新日期:2002-07-05
受影响系统:Microsoft Commerce Server 2000
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Commerce Server 2000 SP1
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Commerce Server 2000 SP2
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Commerce Server 2002
- Microsoft Windows 2000 Server SP2
描述:
BUGTRAQ ID:
5108
CVE(CAN) ID:
CVE-2002-0621
Microsoft Commerce Server是一款Microsoft开发的构建、配置和分析电子商务站点的WEB服务器产品。
Commerce Server使用的Office Web Components (OWC)包安装程序对用户提交数据缺少正确边界检查,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击。
Commerce Server的Office Web Components (OWC)包安装程序实现存在缓冲区溢出,远程攻击者提交特殊构建的畸形数据给Office Web Components (OWC)包安装程序,可以导致Office Web Components (OWC)包安装程序进程崩溃,精心构建提交数据可能使其以Office Web Components (OWC)包安装程序进程的权限在系统上执行任意指令,一般是LocalSystem权限。
<*来源:Next Generation Security Software
链接:
http://www.microsoft.com/technet/security/bulletin/MS02-033.asp
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 删除OWC包安装程序,OWC包安装程序在Windows下命令为BDOWC.EXE,存在在directory /Program Files/Microsoft Commerce Server/widgets/owc目录下。
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS02-033)以及相应补丁:
MS02-033:Unchecked Buffer in Profile Service Could Allow Code Execution in Commerce Server (Q322273)
链接:
http://www.microsoft.com/technet/security/bulletin/MS02-033.asp
补丁下载:
* Microsoft Commerce Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39591
* Microsoft Commerce Server 2002:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39550浏览次数:2936
严重程度:0(网友投票)