正文

Microsoft Windows NT IIS MDAC RDS远程命令执行漏洞(MS99-025)

admin
admin V管理员 /0 评论 /12 阅读
1229
此篇文章发布距今已超过1287天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Microsoft Windows NT IIS MDAC RDS远程命令执行漏洞(MS99-025)

  • CNNVD编号:CNNVD-199907-021
    • <!--
  • 危害等级: 超危-->
  • 危害等级: 超危
  • CVE编号: CVE-1999-1011
  • 漏洞类型: 权限许可和访问控制
  • 发布时间: 1999-07-19
  • 威胁类型: 远程
  • 更新时间: 2006-02-20
  • 厂        商: microsoft
  • 漏洞来源: Rain Forrest Puppy...

漏洞简介

MDAC(Microsoft Data Access Components)是一个把Web和数据库结合起来的软件包。它包含了一个叫RDS(Remote Data Services)的组件。RDS可以使用户通过IIS访问数据库,RDS与IIS都是默认安装的。 RDS中的一个组件DataFactory存在漏洞可以使Web服务用户获取IIS服务器上非公开的文件,远程攻击者也可以使用MDAC转发ODBC请求使之能访问到非公开的服务器。 如果服务器上安装了Microsoft JET OLE DB Provider或Microsoft DataShape Provider攻击者可以使用shell() VBA调用在系统上以System权限执行任意命令,具体细节可以参看Microsoft JET Database Engine VBA相关的漏洞,与当前这个漏洞结合使用可以使攻击者以System的权限在系统上执行任意命令。

漏洞公告

厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS99-025)以及相应补丁:

MS99-025:Re-Release: Unauthorized Access to IIS Servers through ODBC Data Access with RDS

链接: http://www.microsoft.com/technet/security/bulletin/MS99-025.asp

需要按如下文章指示的方法做重新配置:

http://www.microsoft.com/security/bulletins/MS99-025faq.asp

参考网址

来源: MS 名称: MS99-025 链接:http://www.microsoft.com/technet/security/bulletin/ms99-025.asp 来源: OSVDB 名称: 272 链接:http://www.osvdb.org/272 来源: MS 名称: MS98-004 链接:http://www.microsoft.com/technet/security/bulletin/ms98-004.asp 来源: BID 名称: 529 链接:http://www.ciac.org/ciac/bulletins/j-054.shtml 来源:NSFOCUS 名称:3822 链接:http://www.nsfocus.net/vulndb/3822

受影响实体

  • Microsoft Internet_information_server:3.0  
    <!--
    2000-1-1
    -->
  • Microsoft Data_access_components:1.5  
    <!--
    2000-1-1
    -->
  • Microsoft Data_access_components:2.0  
    <!--
    2000-1-1
    -->
  • Microsoft Data_access_components:2.1  
    <!--
    2000-1-1
    -->
  • Microsoft Site_server:3.0  
    <!--
    2000-1-1
    -->

补丁

    暂无