发布日期：1999-05-25
更新日期：1999-05-25

受影响系统：

Microsoft IIS 4.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0

描述：

---

BUGTRAQ  ID: 286

Microsoft JET数据库引擎功能允许在SQL表达式中嵌入Visual Basic代码。

Microsoft JET数据库引擎的这个功能，如果SQL应用未对用户提交的SQL查询表达式做充分过滤，远程攻击者可能利用此漏洞在主机上执行任意命令。

Microsoft JET数据库引擎处理SQL查询语句时允许其中插入Visual Basic表达式，在两个“|”字符之间的VBA表达式会被执行，结果代替VBA表达式本身的那些字串。Microsoft JET数据库引擎可以通过ODBC API被调用，它通常被用来作为基于Web应用的后台支持。因为使用“|”字符的功能很少为人所知，所以很少会有Web应用对用户输入进行检测过滤，这样导致任何使用了Microsoft JET数据库引擎脚本或应用程序都可能潜在地被利用来执行命令。

Microsoft IIS是以系统用户的上下文来执行ODBC命令的，这样可能会使VBA代码以系统用户的身份执行。攻击者可能使用的最危险的VBA命令是shell()，它其实可以使攻击者执行任意命令。IIS 4.0默认自带了一些示例脚本，如果它们使用了JET ODBC驱动（比如details.idc）则它们可以被攻击者利用。IIS也自带了MSADC，它可以被远程用户通过HTTP在一个DNS上执行SQL查询。

据测试JET 4.0不受此漏洞的影响。


<*来源：Wanderley J. Abreu Junior （storm@unikey.com.br）
  
  链接：http://www.wiretrip.net/rfp/p/doc.asp?id=3&iface=2
        http://www.microsoft.com/technet/security/bulletin/MS99-025.asp
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

在浏览器地址栏中输入：

http://host/AdvWorks/equipment/catalog_type.asp?ProductType=|shell("cmd+/c+dir+c:\ > c:\file.txt")|

如果在C:盘下发现file.txt文件则说明存在此漏洞。

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 删除/AdvWorks/equipment/catalog_type.asp

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security/

微软的意见是，对该问题，正确的配置比补丁更重要。

升级到JET 4.0以上版本或者MSDAC 2.1以上版本也可不受此漏洞影响。

浏览次数：10988
严重程度：0（网友投票）