正文

Microsoft IIS处理伪造的"Content-Length"失败导致拒绝服务漏洞

admin
admin V管理员 /0 评论 /7 阅读
1231
此篇文章发布距今已超过1229天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Microsoft IIS处理伪造的"Content-Length"失败导致拒绝服务漏洞

  • CNNVD编号:CNNVD-200112-092
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2001-1186
  • 漏洞类型: 其他
  • 发布时间: 2001-12-11
  • 威胁类型: 远程
  • 更新时间: 2005-05-13
  • 厂        商: microsoft
  • 漏洞来源: Ivan Hernandez Pug...

漏洞简介

Microsoft IIS 5.0是随Windows 2000系统一起发布的流行的Web服务器程序。 IIS 5.0对意外情况的HTTP请求处理存在问题,远程攻击者通过向IIS 5.0发送一个精心构造的请求,可能导致IIS 5.0拒绝服务。 当IIS 5.0接到一个包含伪造的\"Content-Length\"域的GET请求时,会以一种异常的方式处理该请求,即IIS 5.0保持该连接并且不超时,但是不再响应其它请求。如果攻击者发送大量的上述畸形请求,就可能使IIS无法响应正常的连接请求,有可能造成拒绝服务攻击。

漏洞公告

临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 通过配置限制非信任主机对80端口的访问。 厂商补丁: Microsoft --------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com

参考网址

来源: BID 名称: 3667 链接:http://www.securityfocus.com/bid/3667 来源: BUGTRAQ 名称: 20011211 Microsoft IIS/5 bogus Content-length bug. 链接:http://www.securityfocus.com/archive/1/244892 来源: XF 名称: iis-false-content-length-dos(7691) 链接:http://www.iss.net/security_center/static/7691.php 来源: BUGTRAQ 名称: 20011212 Microsoft IIS/5.0 Content-Length DoS (proved) 链接:http://online.securityfocus.com/archive/1/245100 来源: BUGTRAQ 名称: 20011211 Microsoft IIS/5 bogus Content-length bug Memory attack 链接:http://online.securityfocus.com/archive/1/244931

受影响实体

  • Microsoft Internet_information_server:5.0  
    <!--
    2000-1-1
    -->
  • Microsoft Internet_information_services:5.0  
    <!--
    2000-1-1
    -->

补丁

    暂无