Board logo

标题: Microsoft IIS畸形文件扩展名绕过安全限制漏洞 20091228 [打印本页]
作者: 点饭的百度空间     时间: 2009-12-29 09:44    标题: Microsoft IIS畸形文件扩展名绕过安全限制漏洞 20091228

安全漏洞:CN-VA09-125
发布日期:2009年12月28日
漏洞类型:代码执行
漏洞评估:重要
受影响的软件:
    Microsoft Internet Information Services (IIS) versions 5.x
    Microsoft Internet Information Services (IIS) versions 6.x

漏洞描述:
     微软Internet 信息服务 (IIS) 存在严重的安全漏洞,即IIS服务器会错误的执行带有多个扩展名的文件中所包含的ASP代码。例如,“malicious.asp;.jpg”被错误执行成ASP文件。目前很多文件上传程序仅检查文件扩展名的最后部分,这可能导致攻击者绕过安全保护机制向服务器上传恶意可执行文件。目前微软尚未提供解决方案,CNCERT建议广大用户可通过移除上传文件目录中的可执行权限来避免系统受到漏洞影响。
   
参考信息:
    http://www.vupen.com/english/advisories/2009/3634
    http://www.nsfocus.net/vulndb/14263
    http://www.venustech.com.cn/NewsInfo/124/5906.Html

信息提供者:
    Soroush Dalili

其它信息:

相关CVE编号:
   

漏洞报告文档编写:
    国家信息安全漏洞共享平台(CNVD)

-----------------------------------------------------------------------------------
    CNVD是CNCERT联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台,旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。

    在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

    我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。

    如果您发现本公告存在任何问题,请与我们联系
作者: Squn     时间: 2009-12-31 11:00
哈哈 找到你啦~~~
作者: tianwaixing     时间: 2009-12-31 17:00
支持一下,安全漏洞太多了。
作者: 专业路过     时间: 2010-1-2 13:52
哈哈,找到你们啦



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn