多个厂商产品允许非特权用户修改日志文件漏洞

漏洞信息详情

多个厂商产品允许非特权用户修改日志文件漏洞

• CNNVD编号：CNNVD-200212-649
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1695
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-01-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Information Anarch…

多个厂商的应用软件包括(IIS 4.0和Norton Internet Security 2001)的日志文件属性设置不安全，允许拥有本地权限的非特权用户修改日志文件。
缺省情况下，微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中，该日志文件位于 \\%WinDir\\%＼System32＼LogFiles＼W3SVC1目录下，每天都会创建一个日志文件。
WEB Server运行时，用户无法删除当天的日志文件，因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。
对于运行II4的Windows NT4 SP6a，这个日志文件的缺省权限是
Administrators ： Full Control
Everyone ： Change (RWXD)
IUSR_ComputerName ： Full Control
System ： Full Control
即Everyone group的成员可以读、写、执行、删除该文件，而IIS内置帐号对这个日志文件拥有完全控制权限。然而，与服务控制管理数据库相关联的DACL禁止Everyone group成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是，由于inetinfo.exe打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数。其它应用程序可以使用 OpenFile Win32 API ，指定 (OF_REOPEN|OF_READWRITE) 参数，再次打开当天的日志文件。此时，不必停止W3SVC服务，就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时，就可利用这点清除日志。
比如，针对IIS4做完UNICODE攻击后，不必提升到SYSTEM权限停止W3SVC服务，就可以
擦除日志。注意，这需要IUSR_ComputerName(内置帐号)权限，而这可通过UNICODE漏
洞获取。
Norton Internet Security 2001 分别在如下日志文件中记录攻击和告警
＼Program Files＼Norton Internet Security＼iamfw.rel
＼Program Files＼Norton Internet Security＼iamalert.rel
如果所在文件系统是NTFS，这两个日志文件的缺省权限是
Everyone ： Full Control
NIS 2001打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数，存在类似的安全问题。
这里暴露出来的问题不仅仅存在于Microsoft、Symantec的产品中，其它厂商的产品在打开敏感文件时，很可能也以类似方式使用 FILE_SHARE_READ 和 FILE_SHARE_WRITE
参数。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 为了解决这个问题，微软建议针对相关目录(比如，W3svc、W3svc1、Msftpsvc1等等)做如下修正

1) 删除 IUSR_ComputerName 帐号

2) 使Everyone group对相应目录只读

做为开发人员，应该在打开日志文件时仅指定 FILE_SHARE_READ 参数。

同时，在NTFS文件系统上确认只有特权用户、组才能对日志文件做写操作。
厂商补丁：
Microsoft
———
微软确认IIS 4的缺省安装受此问题影响，IIS 5的缺省安装不受此问题影响。微软将 在IIS Lockdown Tool中包含对日志文件权限设置的检查。此外微软建议阅读

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/iis4cl.asp” target=”_blank”>
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/iis4cl.asp

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q315986” target=”_blank”>
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q315986
Symantec
——–
Symantec认为这是一个低风险漏洞，并承诺尽快修正此问题。 我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.symantec.com/sabu/nis/nis_pe/” target=”_blank”>
http://www.symantec.com/sabu/nis/nis_pe/

来源: XF
名称: iis-modify-log(7919)
链接:http://xforce.iss.net/xforce/xfdb/7919

来源: BID
名称: 3888
链接:http://www.securityfocus.com/bid/3888

来源：NSFOCUS
名称：2160
链接：http://www.nsfocus.net/vulndb/2160