为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

IIS的printer漏洞修补

2008-9-28 10:22| 投稿: security

摘要:       微软Windows 2000 IIS 5的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系,默认情况下...
      微软Windows 2000 IIS 5的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系,默认情况下该映射存在。当远程用户提交对.printer的URL请求时,IIS 5调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查,远程用户可以提交一个精心构造的针对.printer的URL请求,其Host:域包含大约420字节的数据,此时在msw3prt.dll中发生典型的缓冲区溢出,潜在允许执行任意代码。溢出发生后,Web服务停止响应,Windows 2000可以检查到Web服务停止响应,从而自动重启它,因此系统管理员很难意识到受到攻击。默认情况下,IIS 5.0服务器存在一个后缀为printer的应用程序映射,这个映射使用位于\WINNT\System32\下的名为 msw3prt.dll 的动态库文件。这个功能是用于基于Web控制的网络打印的,是Windows 2000为Internet Printing Protocol(IPP)协议而设置的应用程序功能。但是这个映射存在一个缓冲区溢出错误,可以导致inetinfo.exe出错,允许入侵者通过Web获取服务器的管理权限,入侵者制造一个 .printer 的ISAPI请求,当Http host参数的值达到420个字符时就会发生缓冲区溢出:GET /NULL.printer HTTP/1.0Host: [buffer]      这时,Web Server会停止响应。Windows 2000操作系统发现Web异常停止后,会自动重启。通过构造包含适当的Shell Code的脚本,入侵者可以以system用户的身份,不停地远程通过Web执行任何指令。这个漏洞的危害比IISHACK更大,原因是由于IIS 4.0不自动重启,用IISHACK的入侵者只能获得一次Shell,而通过这个漏洞入侵者可以不停地利用。目前Internet上已经有一个exploit程序,可以绑定系统的cmd.exe程序,自由地执行指令。       由于此漏洞就是由于.printer后缀的脚本会输送给msw3prt.dll,只怪这个文件存在溢出漏洞。我们可以删除.printer映射。在控制面板->管理工具->Internet服务管理器->Web站点属性对话框中的“主目录”选项卡。单击配置,找到.printer映射,然后删除便可                                                             图  删除printer脚本映射 厂商补丁程序:微软已经为此发布了一个安全公告(MS01-023)以及相应补丁程序程序:http://www.microsoft.com/technet/security/bulletin/MS01-023.asp补丁程序下载:Microsoft Windows 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321Microsoft Windows 2000 Datacenter Server: 注意:由于Windows 2000数据中心服务器的补丁程序因硬件不同,须向原设备制造商索取本文出自 51CTO.COM技术博客 

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部