Microsoft Internet Information Services 安全漏洞

漏洞信息详情

Microsoft Internet Information Services 安全漏洞

• CNNVD编号：CNNVD-200204-031
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0072
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2002-04-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2020-11-25
  
• 厂        商：
  
  microsoft
• 漏洞来源：

Microsoft Internet Information Services（IIS）是美国微软（Microsoft）公司的一款适用于Windows Server平台的Web服务器。

Microsoft Internet Information Services 版本 4.0、5.0、5.1 中存在安全漏洞，该漏洞源于 IIS ISAPI过滤器对错误处理不当，远程攻击者可能利用此漏洞对IIS服务器进行拒绝服务攻击，使服务器程序崩溃。原因在于过滤器会对URL最大长度做限制，至少一个ISAPI过滤器(FrontPage Server Extensions和ASP.NET自带组件)在接到超长URL请求时会生成错误信息。在处理这种错误时，过滤器用一个空值取代这个URL。由于IIS会试图处理这个URL以便向请求者返回错误信息，结果造成非法访问，从而导致IIS服务崩溃。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 删除所有没用到的ISAPI映射。

可以参考如下步骤删除上述脚本映射：

1. 打开Internet 服务管理器

2. 右击你的服务器(例如 “* nsfocus”)，在菜单中选择”属性”栏

3. 选择”主属性”

4. 选择 WWW 服务 | 编辑 | 主目录 | 配置

5. 在扩展名列表中删除不需要的映射项。

6. 保存设置,然后重启IIS服务。

厂商补丁：

Microsoft

———

Microsoft已经为此发布了一个安全公告(MS02-018)以及相应补丁:

MS02-018：Cumulative Patch for Internet Information Services (Q319733)

链接：
http://www.microsoft.com/technet/security/bulletin/MS02-018.asp” target=”_blank”>

http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

补丁下载：

* Microsoft IIS 4.0:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931” target=”_blank”>

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931

* Microsoft IIS 5.0:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824” target=”_blank”>

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824

* Microsoft IIS 5.1:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857” target=”_blank”>

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857

来源:BUGTRAQ

链接:http://marc.info/?l=bugtraq&m=101853851025208&w=2

来源:CERT

链接:http://www.cert.org/advisories/CA-2002-09.html

来源:CISCO

链接:http://www.cisco.com/warp/public/707/Microsoft-IIS-vulnerabilities-MS02-018.shtml

来源:XF

链接:http://www.iss.net/security_center/static/8800.php

来源:MS

链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2002/ms02-018

来源:CERT-VN

链接:http://www.kb.cert.org/vuls/id/521059

来源:OSVDB

链接:http://www.osvdb.org/3326

来源:BID

链接:https://www.securityfocus.com/bid/4479