安全研究

安全漏洞
Microsoft IIS 4.0/5.0 .HTR文件名截断泄漏文件内容漏洞(MS00-031)

发布日期:2000-05-11
更新日期:2000-05-11

受影响系统:
Microsoft IIS 4.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
Microsoft IIS 5.0
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
描述:
BUGTRAQ  ID: 1193
CVE(CAN) ID: CVE-2000-0457

IIS是一款Windows NT/2000系统自带的的Web服务器软件,由Microsoft公司开发维护。IIS支持对一些特定文件名后缀(如.ASP、.IDC、.HTR)的文件请求执行进一步的处理,当服务器接到此类文件的请求时,每种后缀的文件由一个特定的DLL文件处理。ISM.DLL用于处理.HTR、.STM、.IDC为后缀的文件请求。

Cerberus 安全小组发现微软的IIS 4/5存在一个缺陷,允许攻击者访问那些本来无权访问的文件。比如/scripts目录下的文本文件(.txt、.log、.ini)通常是不可访问的,因为这个虚拟目录只有执行权限。利用这个缺陷,就有可能访问得到这些文本文件的内容。

通过给IIS提供一个特殊格式的请求,有可能获得这些文件的内容。提供一个请求,文件名后跟随大约230个空格(+或者%20),以.htr做后缀,于是IIS认为客户端正在请求一个.htr文件。.htr扩展文件被映射成 ISM.DLL ISAPI 应用程序,IIS会重定向所有针对.htr资源的请求到 ISM.DLL ,ISM.DLL 打开这个文件并执行之。 但是在这样做之前,ISM.DLL 会截断送给自己的缓冲区内容,去掉.htr后缀以及结尾的空格,于是我们想访问的文件内容被返回。这种攻击只能进行一次,直到WWW服务重启,将无法进行第二次攻击。此外,如果已经提交过一个.htr请求给目标主机,攻击也会失败。这个缺陷仅仅在ISM.DLL被调入内存后的第一时刻有效。

<*来源:Cerberus Security Team (CST@CERBERUS-INFOSEC.CO.UK
  
  链接:http://www.microsoft.com/technet/security/bulletin/MS00-031.asp
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Cerberus Security Team (CST@CERBERUS-INFOSEC.CO.UK)提供了如下测试方法:

http://host/some.asp[约230个空格].htr

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 删除.HTR文件扩展到ISM.DLL文件的映射:

-点击开始 | 程序 | Windows NT 4.0 Option Pack | Microsoft Internet 信息服务 | Internet 服务管理器,启动Internet 服务管理器;
-双击“Internet 信息服务”;
-右击计算机名,选择特性;
-在master属性下拉框,选择“WWW 服务”,接着点击“编辑”按钮;
-点击“主目录”菜单条,接着点击“配置”按钮;
-在扩展映射里选中“.htr”选项,接着点击“删除”按钮;
-系统提示“删除指定的脚本映射?”时,回答“是”。点击“是”三次,关闭ISM,然后重启IIS服务。

厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS00-031)以及相应补丁:
MS00-031:Patch Available for "Undelimited .HTR Request" and "File Fragment Reading via .HTR" Vulnerabilities
链接:http://www.microsoft.com/technet/security/bulletin/MS00-031.asp

补丁下载:

- Internet Information Server 4.0:
   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20905
- Internet Information Server 5.0:
   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20903

浏览次数:7176
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障