Microsoft IIS 4.0 showcode.asp例子脚本可察看任意文件漏洞(MS99-013)

漏洞信息详情

Microsoft IIS 4.0 showcode.asp例子脚本可察看任意文件漏洞(MS99-013)

• CNNVD编号：CNNVD-199905-015
• 危害等级： 中危
  
  
• CVE编号：
  CVE-1999-0737
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  1999-05-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-05-07
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Parcens

IIS 4.0是Microsoft公司的一个广泛应用的Internet服务器产品，运行在Windows平台上。IIS自带了一些ASP例子脚本，这些文件是默认安装的且存在于web目录下。

IIS 4.0自带的某些例子脚本如showcode.asp实现上存在输入验证漏洞，远程攻击者可能利用此漏洞读取Web目录所在驱动器的中任意文件的内容，包括一些ASP脚本的源码。

showcode.asp被设计用来察看其他样本文件的源代码，但是由于设计失误，没有过滤\”..\”导致可访问上级目录的文件，这样就可能导致Web中的其他asp源文件泄漏甚至Web目录之外的其他文件泄漏。脚本默认的可访问URL为：http：//www.sitename.com/msadc/Samples/SELECTOR/showcode.asp 。

ViewCode.asp、CodeBrws.asp和Winmsdp.exe存在类似漏洞。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 这些例子程序对服务器的运行是不必要的，删除它们。

厂商补丁：

Microsoft

———

Microsoft已经为此发布了一个安全公告(MS99-013):

MS99-013：Solution Available for File Viewers Vulnerability

链接：
http://www.microsoft.com/technet/security/bulletin/MS99-013.asp” target=”_blank”>

http://www.microsoft.com/technet/security/bulletin/MS99-013.asp

补丁下载：

ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

来源: MS

名称: MS99-013

链接:http://www.microsoft.com/technet/security/bulletin/ms99-013.asp

来源：NSFOCUS
名称：3400
链接：http://www.nsfocus.net/vulndb/3400