Microsoft .Net Framework多个空字节注入漏洞(MS07-040)

漏洞信息详情

Microsoft .Net Framework多个空字节注入漏洞(MS07-040)

• CNNVD编号：CNNVD-200707-170
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2007-0042
  
• 漏洞类型：
  
  
  信息泄露
  
• 发布时间：
  
  2007-07-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-07-13
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Paul Craig※ headpi…

Microsoft .NET Framework是美国微软（Microsoft）公司开发的一种全面且一致的编程模型，也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。该平台包括C＃和Visual Basic编程语言、公共语言运行库和广泛的类库。

.NET Framework在处理网页请求时存在漏洞，远程攻击可能利用此漏洞绕过安全限制访问到敏感信息。

.NET Framework的Server.MapPath、Server.Execute、Server.Transfer、String.Compare、System.Net.Mail.SmtpMail.Send方式没有正确地验证某些用户输入参数，允许用户在提交的URI中注入任意空字节。成功地利用此漏洞的攻击者绕过ASP.NET网站的安全限制下载任何网页的内容。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.microsoft.com/technet/security/Bulletin/ms07-040.mspx?pf=true

来源: US-CERT

名称: TA07-191A

链接:http://www.us-cert.gov/cas/techalerts/TA07-191A.html

来源: SECTRACK

名称: 1018356

链接:http://www.securitytracker.com/id?1018356

来源: MS

名称: MS07-040

链接:http://www.microsoft.com/technet/security/Bulletin/ms07-040.mspx

来源: VUPEN

名称: ADV-2007-2482

链接:http://www.frsirt.com/english/advisories/2007/2482

来源: MISC

链接:http://security-assessment.com/files/advisories/2007-07-11_Multiple_.NET_Null_Byte_Injection_Vulnerabilities.pdf

来源: SECUNIA

名称: 26003

链接:http://secunia.com/advisories/26003

来源: HP

名称: SSRT071446

链接:http://archive.cert.uni-stuttgart.de/bugtraq/2007/07/msg00254.html

来源: US Government Resource: oval:org.mitre.oval:def:2070

名称: oval:org.mitre.oval:def:2070

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:2070