发布日期：2002-12-11
更新日期：2002-12-19

受影响系统：

Deerfield VisNetic Website 3.5.13.1

不受影响系统：

Deerfield VisNetic Website 3.5.15

描述：

---

BUGTRAQ  ID: 6364

VisNetic Website是一款基于Windows的安全的WEB服务程序，支持多个域，允许TLS/SSL安全域等功能。

Deerfield VisNetic Website在处理OPTIONS目录中的资源请求时存在问题，远程攻击者可以利用这个漏洞发送畸形请求导致内存破坏，可能以WEB服务进程在系统上执行任意指令。

攻击者如果请求OPTIONS目录中的资源时，提交超长文件名的请求，可以使服务程序崩溃。精心构建文件名数据可能以WEB服务进程的权限在系统上执行任意指令。

<*来源：Peter Kruse （kruse@krusesecurity.dk）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103964927422113&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Peter Kruse （kruse@krusesecurity.dk）提供了如下测试方法：

OPTIONS/AAAAAAA..[500A]..AAA.HTML

建议：

---

厂商补丁：

Deerfield
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Deerfield VisNetic Website 3.5.13.1:

Deerfield Upgrade VisNetic Website 3.5.15
http://www.deerfield.com/download/visnetic_website/

浏览次数：2959
严重程度：0（网友投票）