正文

Microsoft IIS 4.0 showcode.asp例子脚本可察看任意文件漏洞(MS99-013)

admin
admin V管理员 /0 评论 /12 阅读
1229
此篇文章发布距今已超过1231天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Microsoft IIS 4.0 showcode.asp例子脚本可察看任意文件漏洞(MS99-013)

  • CNNVD编号:CNNVD-199905-018
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-1999-0736
  • 漏洞类型: 输入验证
  • 发布时间: 1999-05-07
  • 威胁类型: 远程
  • 更新时间: 2012-05-07
  • 厂        商: microsoft
  • 漏洞来源: Parcens

漏洞简介

IIS 4.0是Microsoft公司的一个广泛应用的Internet服务器产品,运行在Windows平台上。IIS自带了一些ASP例子脚本,这些文件是默认安装的且存在于web目录下。

IIS 4.0自带的某些例子脚本如showcode.asp实现上存在输入验证漏洞,远程攻击者可能利用此漏洞读取Web目录所在驱动器的中任意文件的内容,包括一些ASP脚本的源码。

showcode.asp被设计用来察看其他样本文件的源代码,但是由于设计失误,没有过滤\"..\"导致可访问上级目录的文件,这样就可能导致Web中的其他asp源文件泄漏甚至Web目录之外的其他文件泄漏。脚本默认的可访问URL为:http://www.sitename.com/msadc/Samples/SELECTOR/showcode.asp 。

ViewCode.asp、CodeBrws.asp和Winmsdp.exe存在类似漏洞。

漏洞公告

临时解决方法:

如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 这些例子程序对服务器的运行是不必要的,删除它们。

厂商补丁:

Microsoft

---------

Microsoft已经为此发布了一个安全公告(MS99-013):

MS99-013:Solution Available for File Viewers Vulnerability

链接:

http://www.microsoft.com/technet/security/bulletin/MS99-013.asp" target="_blank">

http://www.microsoft.com/technet/security/bulletin/MS99-013.asp

补丁下载:

ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

参考网址

来源: MS

名称: MS99-013

链接:http://www.microsoft.com/technet/security/bulletin/ms99-013.asp

来源: US Government Resource: oval:org.mitre.oval:def:932

名称: oval:org.mitre.oval:def:932

链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:932

来源:NSFOCUS 名称:3400 链接:http://www.nsfocus.net/vulndb/3400

受影响实体

  • Microsoft Internet_information_server:4.0  
    <!--
    2000-1-1
    -->

补丁

    暂无