Microsoft Index Server是Windows NT 4.0可选安装包中包括的一个基于Web的搜索引擎,在Windows 2000系统中作为一个服务安装。
Index Server的Webhits.dll实现上存在漏洞,远程攻击可能利用此漏洞读取系统上ASP脚本的源码或其它系统文件的内容。Cerberus安全小组现在微软的Index Server服务上发现了第三个漏洞。对于运行在IIS4或IIS5上的Index Server,即使您把最近的补丁给打上了或者没有.htw文件,都同样受到此漏洞的影响。其中的风险包括系统中的很多ASP页面的源代码或者是象global.asa的文件会被攻击者查看。这些文件包含了很多敏感信息,象用户的ID和密码、还有数据源、数据库用户名及密码。这些都会给攻击者攻击站点/网络提供便利。
