发布日期：2003-05-27
更新日期：2003-06-03

受影响系统：

Microsoft IIS 4.0
    - Microsoft Windows NT 4.0
Microsoft IIS 5.0
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
Microsoft IIS 5.1
    - Microsoft Windows XP Professional SP1
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home SP1
    - Microsoft Windows XP Home

不受影响系统：

Microsoft IIS 6.0
    - Microsoft Windows 2003 Web Edition
Microsoft IIS 6.0
    - Microsoft Windows 2003 Standard Edition
Microsoft IIS 6.0
    - Microsoft Windows 2003 Enterprise Edition 64-bit
Microsoft IIS 6.0
    - Microsoft Windows 2003 Enterprise Edition
Microsoft IIS 6.0
    - Microsoft Windows 2003 Datacenter Edition 64-bit
Microsoft IIS 6.0
    - Microsoft Windows 2003 Datacenter Edition

描述：

---

BUGTRAQ  ID: 7731
CVE(CAN) ID: CVE-2003-0223

Microsoft IIS 5.0（Internet Infomation Server 5）是Microsoft Windows 2000自带的一个网络信息服务器，其中包含HTTP服务功能。

Microsoft IIS在处理重定向错误页面时存在跨站脚本执行问题，远程攻击者可以利用这个漏洞构建恶意页面，诱使用户访问，获得用户基于认证的敏感信息。

此跨站脚本执行攻击影响IIS 4.0，5.0和5.1，IIS在处理错误信息传递给通告用户请求URL将被重定向时，对响应的信息没有进行充分过滤。攻击者可以诱骗用户点击恶意页面，此页面包含恶意脚本代码的链接指向第三方的IIS服务器，导致IIS服务器在返回错误信息给用户时包含恶意代码，这可导致恶意脚本在用户浏览器上执行，使用户基于认证的敏感信息泄露给攻击者。

<*来源：Microsoft Security Bulletin
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS03-018.asp
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-018）以及相应补丁:
MS03-018：Cumulative Patch for Internet Information Service (811114)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-018.asp

补丁下载，此补丁需要用户先安装MS02-50的补丁：

Microsoft IIS 4.0:

Microsoft Patch Q811114
http://microsoft.com/downloads/details.aspx?FamilyId=1DBC1914-98E9-4DED-ADBF-E9B374A1F79D&displaylang=en

IIS 4.0补丁需要安装在运行了Windows NT 4.0 Service Pack 6a的系统。

Microsoft IIS 5.0:

Microsoft Patch Q811114
http://microsoft.com/downloads/details.aspx?FamilyId=2F5D9852-4ADD-44F8-8715-AC3D7D7D94BF&displaylang=en

IIS 5.0补丁需要安装在运行了Windows 2000 Service Pack 2或Service Pack 3的系统。

Microsoft IIS 5.1:

Microsoft Patch Q811114
http://microsoft.com/downloads/details.aspx?FamilyId=77CFE3EF-C5C5-401C-BC12-9F08154A5007&displaylang=en

Windows XP 32-bit edition版本的IIS 5.1补丁需要安装在运行了Windows XP Professional Gold和Service Pack 1的系统。

Microsoft Patch Q811114
http://microsoft.com/downloads/details.aspx?FamilyId=86F4407E-B9BF-4490-9421-008407578D11&displaylang=en

Windows XP 64-bit edition版本的IIS 5.1补丁需要安装在运行了Windows XP Professional Gold和Service Pack 1的系统。

浏览次数：5342
严重程度：0（网友投票）