微点交流论坛 - 反病毒 - Microsoft IIS畸形文件扩展名绕过安全限制漏洞 20091228

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » Microsoft IIS畸形文件扩展名绕过安全限制漏洞 20091228

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 Microsoft IIS畸形文件扩展名绕过安全限制漏洞 20091228

安全漏洞：CN-VA09-125
发布日期：2009年12月28日
漏洞类型：代码执行
漏洞评估：重要
受影响的软件：
Microsoft Internet Information Services (IIS) versions 5.x
Microsoft Internet Information Services (IIS) versions 6.x

漏洞描述：
微软Internet 信息服务 (IIS) 存在严重的安全漏洞，即IIS服务器会错误的执行带有多个扩展名的文件中所包含的ASP代码。例如，“malicious.asp;.jpg”被错误执行成ASP文件。目前很多文件上传程序仅检查文件扩展名的最后部分，这可能导致攻击者绕过安全保护机制向服务器上传恶意可执行文件。目前微软尚未提供解决方案，CNCERT建议广大用户可通过移除上传文件目录中的可执行权限来避免系统受到漏洞影响。

参考信息：
http://www.vupen.com/english/advisories/2009/3634
http://www.nsfocus.net/vulndb/14263
http://www.venustech.com.cn/NewsInfo/124/5906.Html

信息提供者：
Soroush Dalili

其它信息：

相关CVE编号：

漏洞报告文档编写：
国家信息安全漏洞共享平台（CNVD）

-----------------------------------------------------------------------------------
CNVD是CNCERT联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台，旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。

在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

我们鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台（CNVD）公布漏洞信息及指导受影响用户采取措施以避免损失。

如果您发现本公告存在任何问题，请与我们联系

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-12-29 09:44

Squn
新手上路

积分 10
发帖 10
注册 2009-12-29
来自 DSWLAB数据安全实验室

#2

哈哈找到你啦~~~

※ ※ ※ 本文纯属【Squn】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-31 11:00

tianwaixing
新手上路

积分 5
发帖 5
注册 2009-12-29

#3

支持一下，安全漏洞太多了。

※ ※ ※ 本文纯属【tianwaixing】个人意见，与【微点交流论坛】立场无关※ ※ ※

txt全集小说下载 www.aktxt.com

2009-12-31 17:00

专业路过
中级用户

积分 375
发帖 373
注册 2009-2-15

#4

哈哈，找到你们啦

※ ※ ※ 本文纯属【专业路过】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶木有文化，不要嘲笑偶哦。

2010-1-2 13:52

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号