正文

Microsoft Windows Index Server远程目录遍历漏洞(MS00-006)

admin
admin V管理员 /0 评论 /6 阅读
1230
此篇文章发布距今已超过1226天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Microsoft Windows Index Server远程目录遍历漏洞(MS00-006)

  • CNNVD编号:CNNVD-200001-056
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2000-0097
  • 漏洞类型: 输入验证
  • 发布时间: 2000-01-26
  • 威胁类型: 远程
  • 更新时间: 2005-10-12
  • 厂        商: microsoft
  • 漏洞来源: David Litchfield※ ...

漏洞简介

Microsoft Index Server是Windows NT 4.0可选安装包中包括的一个基于Web的搜索引擎,在Windows 2000系统中作为一个服务安装。 Internet Information Server 4.0中一个ISAPI应用程序webhits.dll存在安全漏洞,允许攻击者突破WEB的虚拟文件系统,获得对在同一个逻辑驱动器中其它文件(如用户数据库、日志文件等任何能猜测路径名和文件名的文件)的非法访问。 Webhits.dll动态链接库与.htw文件关联。但即使在系统中没有任何.htw文件,仍然可能有问题。检查系统是否存在这个安全问题的是输入:http://your_web_server_address/nosuchfile.htw,如果返回信息类似\"format of the QUERY_STRING is invalid\",那么就说明存在安全问题。

漏洞公告

临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 用Internet Server Manager取消webhits.dll与.htw文件的关联。 厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS00-006)以及相应补丁:

MS00-006:Patch Available for "Malformed Hit-Highlighting Argument" Vulnerability

链接: http://www.microsoft.com/technet/security/bulletin/MS00-006.asp

补丁下载:

Index Server 2.0:

- Intel:

http://www.microsoft.com/downloads/release.asp?ReleaseID=17727

- Alpha:

http://www.microsoft.com/downloads/release.asp?ReleaseID=17728

Indexing Services for Windows 2000:

- Intel:

http://www.microsoft.com/downloads/release.asp?ReleaseID=17726

参考网址

来源: MS 名称: MS00-006 链接:http://www.microsoft.com/technet/security/bulletin/ms00-006.asp 来源: BID 名称: 950 链接:http://www.securityfocus.com/bid/950 来源: OSVDB 名称: 1210 链接:http://www.osvdb.org/1210 来源:NSFOCUS 名称:270 链接:http://www.nsfocus.net/vulndb/270

受影响实体

  • Microsoft Index_server:2.0  
    <!--
    2000-1-1
    -->

补丁

    暂无