首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第8期->最新漏洞
日期:2000-04-12
发布日期: 2000-3-30
更新日期: 2000-4-1
受影响的系统:
- Microsoft Index Server 2.0
- Indexing Service in Windows 2000
--------------------------------------------------------------------------------
描述:
Cerberus安全小组现在在微软的Index Server服务上发现了第三个漏洞。对于运行在IIS4或IIS5上的Index Server,
即使您把最近的补丁给打上了或者没有.htw文件,都同样受到此漏洞的影响。其中的风险包括系统中的很多ASP页面的源代码
或者是象global.asa的文件会被攻击者查看。这些文件包含了很多敏感信息,象用户的ID和密码,还有数据源,数据库用户
名及密码。这些都会给攻击者攻击站点/网络提供便利。
存在该问题的其中一个原因是因为'null.htw'没有一个映射到系统中任意文件的真实文件。另外,它是一个在内存中的
'虚拟文件',因此,即使没有一个真实的.htw文件在系统中,也同样存在风险。任何对null.htw的请求都由webhits.dll来处理。
--------------------------------------------------------------------------------
建议:
目前微软已经发布了相应的修复方案,具体内容如下连接:
http://www.microsoft.com/technet/security/bulletin/ms00-006.asp
您也可以直接在以下地址中找到补丁:
==================
- Index Server 2.0:
Intel:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17727
Alpha:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17728
- Indexing Services for Windows 2000:
Intel:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17726
(如果不需要Index Server服务的话,最彻底的方法是将.htw的映射给删除了。 )
版权所有,未经许可,不得转载