首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第23期->最新漏洞
日期:2001-07-17
受影响的系统:
Microsoft IIS 4.0
- Microsoft Windows NT 4.0 (FAT)
Microsoft IIS 5.0
- Microsoft Windows NT 2000 (FAT)
- Microsoft Windows NT 2000 + SP2 (FAT)
不受影响系统:
Microsoft IIS 4.0
- Microsoft Windows NT 4.0 (NTFS)
Microsoft IIS 5.0
- Microsoft Windows NT 2000 (NTFS)
- Microsoft Windows NT 2000 + SP2 (NTFS)
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID : 2909
IIS 在处理.asp请求时存在一个问题。正常情况下,当请求一个.asp文件时,IIS会确定
它是一个脚本,然后执行这个脚本。然而,如果目标主机使用的是FAT文件系统,那么当构
造一个特殊的web请求(.asp后缀使用unicode编码),IIS将不能正确处理请求,而是返回
asp文件的源代码。
<*来源:VIGILANTE (hack.kampbjorn@vigilante.com) *>
--------------------------------------------------------------------------------
建议:
临时解决方法:
将FAT分区转换为NTFS分区。
厂商补丁:
微软认为FAT分区不是一个安全的文件系统,IIS也不鼓励安装在FAT分区上。微软建议
使用NTFS文件系统。
版权所有,未经许可,不得转载