首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第32期->最新漏洞
日期:2002-06-19
发布日期: 2002-6-12
更新日期: 2002-6-14
受影响的系统:
Microsoft IIS SQLXML
- Microsoft Windows NT
- Microsoft Windows 2000
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 5004
CVE(CAN) ID: CAN-2002-0187
SQLXML ISAPI可以使IIS服务器能够从SQL服务器接受或向其输出XML数据,从而以XML的格式返回查询请求。
SQLXML ISAPI实现上存在缓冲区溢出漏洞,远程攻击者可能通过溢出攻击在主机上以SYSTEM权限执行任意指令。
当使用SQLXML的"sql="语法进行SQL查询的时候,用户可以指定某些参数来影响返回的XML输出,其中的一个参数为content-type。如果提交一个超长的content-type值给IIS,服务器程序可能会崩溃,精心构造成提交的数据可能导致远程攻击者在主机上以SYSTEM进程的权限在主机上执行任意指令。A normal request looks like (in this case, a direct sql= query)。一个正常的请求是可能如下这个样子:
IIS-server/demos?sql=select+*+from+Customers+as+Customer+FOR+XML+auto&root=root&xsl=custtable.xsl&contenttype=text/html
如果content-type的值大于240个字符则可能使inetinfo.exe崩溃。
<*来源:Matt Moore (matt@westpoint.ltd.uk)
链接:http://www.westpoint.ltd.uk/advisories/wp-02-0007.txt
http://www.microsoft.com/technet/security/bulletin/MS02-030.asp
*>
测试程序:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Matt Moore (matt@westpoint.ltd.uk)提供了如下测试方法:
IIS-Server/Nwind/Template/catalog.xml?contenttype=text/AAAA...AAA
--------------------------------------------------------------------------------
建议:
临时解决方法:
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS02-030)以及相应补丁:
MS02-030:Unchecked Buffer in SQLXML Could Lead to Code Execution (Q321911)
链接:http://www.microsoft.com/technet/security/bulletin/MS02-030.asp
补丁下载:
* Microsoft SQLXML version shipping with SQL 2000 Gold:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39547
* Microsoft SQLXML version 2:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38480
* Microsoft SQLXML version 3:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38481
版权所有,未经许可,不得转载