安全研究
安全漏洞
Microsoft BizTalk Server Documentation/WebDAV默认弱访问控制漏洞
发布日期:2003-09-19
更新日期:2003-09-23
受影响系统:Microsoft BizTalk Server 2000 Standard Edition SP2
Microsoft BizTalk Server 2000 Standard Edition SP1a
Microsoft BizTalk Server 2000 Enterprise Edition SP2
Microsoft BizTalk Server 2000 Enterprise Edition SP1a
Microsoft BizTalk Server 2000 Enterprise Edition
Microsoft BizTalk Server 2000 Developer Edition SP2
Microsoft BizTalk Server 2000 Developer Edition SP1a
Microsoft BizTalk Server 2000 Developer Edition
Microsoft BizTalk Server 2002 Partner Edition
Microsoft BizTalk Server 2002 Enterprise Edition
Microsoft BizTalk Server 2002 Developer Edition
Microsoft BizTalk Server 2000 Standard Edition
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
描述:
BUGTRAQ ID:
8661
Microsoft BizTalk Server是一款允许企业集成应用程序,交易伙伴,商务处理的企业综合性产品。BizTalk用于内部网环境在不同后台传输商务文档,并在外部网中可以与交易伙伴交换结构性消息。
由于对BizTalkServerDocs和BizTalkServerRepository虚拟目录的配置错误,可导致攻击者修改文件等恶意操作。
默认安装Microsoft BizTalk Server 2000或Microsoft BizTalk Server 2002会建立几个虚拟目录,但是由于对目录的设置权限不正确,可导致远程攻击者在一定的情况下,如可以上传的情况下,修改原来目录中存储的HTML或者XML文件。
<*来源:Microsoft Knowledge Base Article
链接:
http://support.microsoft.com/default.aspx?scid=kb;en-us;824935
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 配置NTFS文件权限,对BizTalkServerRepository目录设置写访问权限,对 BizTalkServerDocs虚拟目录设置读权限。
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/浏览次数:2966
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |