Microsoft IIS .IDA / .IDQ ISAPI扩展远程缓冲区溢出漏洞(MS01-033)

漏洞信息详情

Microsoft IIS .IDA / .IDQ ISAPI扩展远程缓冲区溢出漏洞(MS01-033)

• CNNVD编号：CNNVD-200107-163
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2001-0500
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2001-06-18
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Eeye Digital Secur…

微软IIS默认安装情况下带了一个索引服务器(Index Server，在Windows 2000下为\”Index Service\”)。默认安装时，IIS支持两种脚本映射：管理脚本(.ida文件)、Internet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展 – idq.dll来处理和解释。
idq.dll实现上存在一个缓冲区溢出漏洞，远程攻击者可以利用此漏洞通过溢出攻击以\”Local System\”的权限在主机上执行任意指令。
由于idq.dll在处理某些URL请求时存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。通过精心构造发送数据，攻击者可以改变程序执行流程，以\”Local System\”的权限执行任意代码。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 您应该立刻删除”.ida/.idq”脚本映射。

可以参考如下步骤删除上述脚本映射：

1. 打开Internet 服务管理器

2. 右击你的服务器(例如 “* nsfocus”)，在菜单中选择”属性”栏

3. 选择”主属性”

4. 选择 WWW 服务 | 编辑 | 主目录 | 配置

5. 在扩展名列表中删除”.ida/.idq”项。

6. 保存设置,然后重启IIS服务。
厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS01-033)以及相应补丁:

MS01-033：Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise

链接：http://www.microsoft.com/technet/security/bulletin/MS01-033.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

补丁下载：

Windows NT 4.0:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833” target=”_blank”>
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000 Professional, Server and Advanced Server:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800” target=”_blank”>
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Windows 2000 Datacenter Server:

Windows 2000 Datacenter Server的补丁因具体硬件而不同，因此须向原设备制造商索取。

Windows XP beta:

本漏洞会在下一个beta版升级和最终公布的该产品正式版中得到解决。

来源:CERT/CC Advisory: CA-2001-13
名称: CA-2001-13
链接:http://www.cert.org/advisories/CA-2001-13.html

来源: MS
名称: MS01-033
链接:http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

来源: BID
名称: 2880
链接:http://www.securityfocus.com/bid/2880

来源: BUGTRAQ
名称: 20010618 All versions of Microsoft Internet Information Services, Remote buffer overflow (SYSTEM Level Access)
链接:http://www.securityfocus.com/archive/1/191873

来源: XF
名称: iis-isapi-idq-bo(6705)
链接:http://www.iss.net/security_center/static/6705.php

来源: CIAC
名称: L-098
链接:http://www.ciac.org/ciac/bulletins/l-098.shtml

来源: US Government Resource: oval:org.mitre.oval:def:197
名称: oval:org.mitre.oval:def:197
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:197