Microsoft FrontPage Server Extensions SmartHTML远程缓冲区溢出漏洞(MS02-053)

漏洞信息详情

Microsoft FrontPage Server Extensions SmartHTML远程缓冲区溢出漏洞(MS02-053)

• CNNVD编号：CNNVD-200210-244
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0692
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-09-25
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Maninder Bharadwaj

Microsoft FrontPage服务器扩展是Microsoft公司开发的用于加强IIS Web服务器的功能的软件包。
Microsoft FrontPage服务器扩展中的SmartHTML (shtml)解析器组件对用户提交的请求缺少正确过滤检查，远程攻击者可以利用这个漏洞进行拒绝服务攻击，可能以FrontPage进程权限在系统上执行任意指令。
SmartHTML (shtml)解析器是Microsoft FrontPage服务器扩展和Microsoft SharePoint Team Services中的一个组件，提供对WEB表单和其他基于FrontPage动态内容的支持。在处理特殊WEB文件类型请求时解析器存在一个漏洞，如果攻击者提交的特殊WEB文件类型请求中包含特殊字符，在FrontPage服务器扩展2000中，这类请求可导致解析器消耗大量或者全部CPU时间，直到WEB服务重新启动。而在FrontPage服务器扩展2002和SharePoint Team Services 2002系统上，相同类型的请求可导致缓冲区溢出，可能以FrontPage进程权限在系统上执行任意指令。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 使用IIS Lockdown工具(http://www.microsoft.com/technet/security/tools/locktool.asp)关闭SmartHTMl解析器。” target=”_blank”>
http://www.microsoft.com/technet/security/tools/locktool.asp)关闭SmartHTMl解析器。

* IIS 4.0, 5.0和5.1 默认情况下安装FrontPage服务器扩展，如果不需要，反安装FrontPage服务器扩展。
厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS02-053)以及相应补丁:

MS02-053：Buffer Overrun in SmartHTML Interpreter Could Allow Code Execution (Q324096)

链接：http://www.microsoft.com/technet/security/bulletin/MS02-053.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp

补丁下载：

* Microsoft FrontPage Server Extensions 2002 for all platforms

http://download.microsoft.com/download/FrontPage2002/fpse1002/1/W98NT42KMeXP/EN-US/fpse1002.exe” target=”_blank”>
http://download.microsoft.com/download/FrontPage2002/fpse1002/1/W98NT42KMeXP/EN-US/fpse1002.exe

* Microsoft FrontPage Server Extension 2000 for NT4

http://download.microsoft.com/download/fp2000fd2000/Patch/1/W9XNT4Me/EN-US/fpse0901.exe” target=”_blank”>
http://download.microsoft.com/download/fp2000fd2000/Patch/1/W9XNT4Me/EN-US/fpse0901.exe

* Microsoft FrontPage Server Extensions 2000 for Windows XP

o http://www.microsoft.com/downloads/release.asp?ReleaseID=42995” target=”_blank”>
http://www.microsoft.com/downloads/release.asp?ReleaseID=42995

o Windows Update

http://windowsupdate.microsoft.com/” target=”_blank”>
http://windowsupdate.microsoft.com/

* Microsoft FrontPage Server Extensions 2000 for Windows 2000

o http://www.microsoft.com/downloads/release.asp?ReleaseID=42954” target=”_blank”>
http://www.microsoft.com/downloads/release.asp?ReleaseID=42954

o Windows Update

http://windowsupdate.microsoft.com/” target=”_blank”>
http://windowsupdate.microsoft.com/

来源:US-CERT Vulnerability Note: VU#723537
名称: VU#723537
链接:http://www.kb.cert.org/vuls/id/723537

来源: MS
名称: MS02-053
链接:http://www.microsoft.com/technet/security/bulletin/ms02-053.asp

来源: XF
名称: fpse-smarthtml-interpreter-bo(10195)
链接:http://www.iss.net/security_center/static/10195.php

来源: BID
名称: 5804
链接:http://www.securityfocus.com/bid/5804

来源: XF
名称: fpse-smarthtml-interpreter-dos(10194)
链接:http://www.iss.net/security_center/static/10194.php