Microsoft Windows Index Server远程目录遍历漏洞(MS00-006)-一一网

Microsoft Windows Index Server远程目录遍历漏洞(MS00-006)

4年前更新

3170

漏洞信息详情

Microsoft Windows Index Server远程目录遍历漏洞(MS00-006)

CNNVD编号：CNNVD-200001-056

危害等级：中危
CVE编号：
CVE-2000-0097
漏洞类型：

输入验证
发布时间：

2000-01-26
威胁类型：

远程
更新时间：

2005-10-12
厂商：

microsoft
漏洞来源：
David Litchfield※ …

漏洞简介

Microsoft Index Server是Windows NT 4.0可选安装包中包括的一个基于Web的搜索引擎，在Windows 2000系统中作为一个服务安装。
Internet Information Server 4.0中一个ISAPI应用程序webhits.dll存在安全漏洞，允许攻击者突破WEB的虚拟文件系统，获得对在同一个逻辑驱动器中其它文件(如用户数据库、日志文件等任何能猜测路径名和文件名的文件)的非法访问。
Webhits.dll动态链接库与.htw文件关联。但即使在系统中没有任何.htw文件，仍然可能有问题。检查系统是否存在这个安全问题的是输入：http：//your_web_server_address/nosuchfile.htw，如果返回信息类似\”format of the QUERY_STRING is invalid\”，那么就说明存在安全问题。

漏洞公告

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 用Internet Server Manager取消webhits.dll与.htw文件的关联。
厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS00-006)以及相应补丁:

MS00-006：Patch Available for “Malformed Hit-Highlighting Argument” Vulnerability

链接：http://www.microsoft.com/technet/security/bulletin/MS00-006.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS00-006.asp

补丁下载：

Index Server 2.0:

– Intel:

http://www.microsoft.com/downloads/release.asp?ReleaseID=17727” target=”_blank”>
http://www.microsoft.com/downloads/release.asp?ReleaseID=17727

– Alpha:

http://www.microsoft.com/downloads/release.asp?ReleaseID=17728” target=”_blank”>
http://www.microsoft.com/downloads/release.asp?ReleaseID=17728

Indexing Services for Windows 2000:

– Intel:

http://www.microsoft.com/downloads/release.asp?ReleaseID=17726” target=”_blank”>
http://www.microsoft.com/downloads/release.asp?ReleaseID=17726

参考网址

来源: MS
名称: MS00-006
链接:http://www.microsoft.com/technet/security/bulletin/ms00-006.asp

来源: BID
名称: 950
链接:http://www.securityfocus.com/bid/950

来源: OSVDB
名称: 1210
链接:http://www.osvdb.org/1210

来源：NSFOCUS
名称：270
链接：http://www.nsfocus.net/vulndb/270

受影响实体

Microsoft Index_server:2.0

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐