发布日期：2003-11-05
更新日期：2003-11-12

受影响系统：

Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2

不受影响系统：

Microsoft Windows NT 4.0SP6a
Microsoft Windows ME
Microsoft Windows 2003
Microsoft Windows 2000SP4

描述：

---

CVE(CAN) ID: CVE-2003-0822,CVE-2003-0824

Microsoft FrontPage服务器扩展是Microsoft公司开发的用于加强IIS Web服务器的功能的软件包。

Microsoft FrontPage Server Extensions存在两个新的安全漏洞，可导致远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以FrontPage进程权限在系统上执行任意指令。

第一个漏洞是由于FrontPage服务扩展的远程调试功能上存在缓冲区溢出，这个功能用于用户远程连接FrontPage服务扩展的服务器和远程调试内容使用，如Visual Interdev。攻击者成功利用这个漏洞可以以本地SYSTEM权限在系统上执行任意指令，然后在系统上执行任意操作，如安装程序，查看更改或删除数据，建立拥有全部权限的帐户等。

第二个漏洞存在与SmartHTML解析器中，提供对WEB表单和其他基于FrontPage动态内容的支持，攻击者利用这个漏洞可以使运行FrontPage服务扩展的服务器临时停止对正常请求的响应。

<*来源：Microsoft Security Team （secure@microsoft.com）
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS03-051.asp
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用IIS Lockdown工具在IIS Server中禁用FrontPage Server Extensions。
* 如果您不需要使用FrontPage Server Extensions, 您还可以通过控制面板中的"添加/删除程序"来卸载FrontPage Server Extensions。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-051）以及相应补丁:
MS03-051：Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution (813360)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-051.asp

补丁下载：

Microsoft FrontPage Server Extensions 2000

http://www.microsoft.com/downloads/details.aspx?FamilyId=C84C3D10-A821-4819-BF58-D3BC70A77BFA&displaylang=en

Microsoft FrontPage Server Extensions 2000 (Shipped with Windows 2000)

http://www.microsoft.com/downloads/details.aspx?FamilyId=057D5F0E-0E2B-47D2-9F0F-3B15DD8622A2&displaylang=en

Microsoft FrontPage Server Extensions 2000 (Shipped with Windows XP)

http://www.microsoft.com/downloads/details.aspx?FamilyId=9B302532-BFAB-489B-82DC-ED1E49A16E1C&displaylang=en

Microsoft FrontPage Server Extensions 2002

http://www.microsoft.com/downloads/details.aspx?FamilyId=3E8A21D9-708E-4E69-8299-86C49321EE25&displaylang=en

Microsoft SharePoint Team Services 2002 (shipped with Office XP)

http://www.microsoft.com/downloads/details.aspx?FamilyId=5923FC2F-D786-4E32-8F15-36A1C9E0A340&displaylang=en

浏览次数：4244
严重程度：0（网友投票）