安全研究

安全漏洞
Microsoft IIS畸形HTTP GET请求远程拒绝服务攻击漏洞(MS98-019)

发布日期:1998-12-21
更新日期:1998-12-21

受影响系统:
Microsoft IIS 4.0 alpha
Microsoft IIS 3.0 alpha
Microsoft IIS 3.0
Microsoft IIS 4.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
描述:
BUGTRAQ  ID: 6789
CVE(CAN) ID: CVE-1999-1035

Microsoft IIS是微软开发和维护的HTTP服务程序。

Microsoft IIS不正确处理畸形HTTP请求,远程攻击者可以利用这个漏洞消耗大量系统资源而使服务程序停止响应。

此漏洞牵涉到HTTP GET方法请求,畸形的GET请求可以导致消耗系统大量资源而使服务程序挂起。部分情况下需要重新启动IIS服务程序,不过此漏洞不会导致服务器上数据破坏。

<*来源:Microsoft Security Bulletin
  
  链接:http://www.microsoft.com/technet/security/bulletin/MS98-019.asp
*>

建议:
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS98-019)以及相应补丁:
MS98-019:Patch Available for IIS "GET" Vulnerability
链接:http://www.microsoft.com/technet/security/bulletin/MS98-019.asp

补丁下载:

Microsoft IIS 3.0 alpha:

Microsoft Hotfix Q192296
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget3a.exe
Fixes IIS 3.0 on Alpha platforms.

Microsoft IIS 3.0:

Microsoft Hotfix Q192296
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget3i.exe
Fixes IIS 3.0 on x86 platforms.

Microsoft IIS 4.0 alpha:

Microsoft Hotfix Q192296
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget4a.exe
Fixes IIS 4.0 on Alpha platforms.

Microsoft IIS 4.0:

Microsoft Hotfix Q192296
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget4i.exe
Fixes IIS 4.0 on x86 platforms.

浏览次数:19971
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障