Microsoft IIS 3.0 newdsn.exe文件创建漏洞

漏洞信息详情

Microsoft IIS 3.0 newdsn.exe文件创建漏洞

• CNNVD编号：CNNVD-199709-008
• 危害等级： 中危
  
  
• CVE编号：
  CVE-1999-0191
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  1997-09-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Vytis Fedaravicius…

IIS 3.0是一款Windows NT/2000系统自带的的Web服务器软件，由Microsoft公司开发维护。默认安装的IIS 3.0带了一个缺省示例CGI程序/scripts/tools/newdsn.exe。
newdsn.exe实现上存在一个漏洞，允许攻击者通过提交一个特意构造的URL请求来覆盖任意文件。
如果系统的NTFS权限设置不够严格，攻击者可能在系统中任何位置创建文件，或覆盖现存数据库的DSN。这可能导致拒绝服务攻击或其他后果。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在/scripts/tools目录中删除newdsn.exe；

* 如果您不需要/scripts有执行权限，删除这个虚拟目录或者禁止匿名访问。
厂商补丁：
Microsoft
———
微软已在IIS 4中解决了此问题，建议升级到IIS 4以上版本：

http://www.microsoft.com/iis” target=”_blank”>
http://www.microsoft.com/iis

来源: OSVDB
名称: 275
链接:http://www.osvdb.org/275