首页 -> 安全研究
安全研究
安全漏洞
Microsoft IIS管理页面跨站脚本执行漏洞(MS02-062)
发布日期:2002-10-31
更新日期:2002-11-05
受影响系统:
Microsoft IIS 4.0描述:
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
Microsoft IIS 5.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
Microsoft IIS 5.1
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows XP 64-bit Edition SP1
- Microsoft Windows XP 64-bit Edition
BUGTRAQ ID: 6072
CVE(CAN) ID: CVE-2002-1181
Microsoft IIS是一款由微软公司开发的HTTP服务程序。
Microsoft IIS服务程序中用于管理目的的WEB页面对用户提交的输入缺少过滤,远程攻击者可以利用这个漏洞构建恶意WEB页,诱使用户点击,可以窃取目标用户基于Cookie认证的敏感信息,或者进行其他攻击。
Microsoft IIS服务程序中两个与管理相关的页面跨站脚本执行漏洞(CSS)。远程攻击者可以在控制的WEB站点中建立在受此漏洞影响的某一页面嵌入恶意脚本代码的URL链接,当目标用户被诱使点击这个恶意链接的时候,脚本代码会在目标用户的浏览器上执行,这可以导致攻击者窃取基于认证的Cookie信息和其他系统信息。
<*链接:http://www.microsoft.com/technet/security/bulletin/MS02-062.asp
*>
建议:
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS02-062)以及相应补丁:
MS02-062:Cumulative Patch for Internet Information Service (Q327696)
链接:http://www.microsoft.com/technet/security/bulletin/MS02-062.asp
补丁下载:
* IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43566
* IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43296
* IIS 5.1:
32-bit:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43578
64-bit:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43602
浏览次数:4467
严重程度:0(网友投票)
绿盟科技给您安全的保障