Microsoft FAT文件系统 IIS Unicode .asp泄漏源码漏洞

漏洞信息详情

Microsoft FAT文件系统 IIS Unicode .asp泄漏源码漏洞

• CNNVD编号：CNNVD-200109-075
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2001-0709
  
• 漏洞类型：
  
  
  环境条件错误
  
• 发布时间：
  
  2001-06-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：

CVE(CAN) ID： CAN-2001-0709

IIS 在处理.asp请求时存在一个问题。正常情况下，当请求一个.asp文件时，IIS会确定

它是一个脚本，然后执行这个脚本。然而，如果目标主机使用的是FAT文件系统，那么当构

造一个特殊的web请求(.asp后缀使用unicode编码)，IIS将不能正确处理请求，而是返回

asp文件的源代码。

临时解决方法：

将FAT分区转换为NTFS分区。

厂商补丁：

微软认为FAT分区不是一个安全的文件系统，IIS也不鼓励安装在FAT分区上。微软建议

使用NTFS文件系统。

来源: XF
名称: iis-unicode-asp-disclosure(6742)
链接:http://xforce.iss.net/static/6742.php

来源: BID
名称: 2909
链接:http://www.securityfocus.com/bid/2909

来源: BUGTRAQ
名称: 20010622 [VIGILANTE-2001001] ASP source code retrieved with Unicode extens ion
链接:http://www.securityfocus.com/archive/1/192802