微軟 IIS 5.0 緩衝區滿溢漏洞

微軟網頁伺服器 (IIS) 內的 WebDAV 元件存在一個非常嚴重的漏洞。 WebDAV 是解作 "網絡編寫和版本發佈 (Web-based Distrbuted Authoring and Versioning)"。管理員利用 WebDAV 延伸可以在遠端管理和編輯網站內容。安裝 IIS 5.0 時會預設開啟 WebDAV，而且無須核證和特別的權限便可在遠端發動攻擊。

WebDAV 是 HTTP 1.1 協定內的其中一項延伸，它新增了網頁內容編寫和版本發佈的管理功能。 在 NTDLL 其中的路徑轉換功能上存在緩衝區滿溢的漏洞，此功能會調用被一個 Kernel32 函式庫匯出的一個通用 API 所調用。可是，IIS 5.0 的 WebDAV 元件亦需要利用這個有漏洞的 API。

利用這項漏洞會獲取該 IIS 伺器的本地系統權限 (local SYSTEM privileges)。這樣可能會洩露受攻擊電腦上的機密資料。 這項漏洞很容易被演變成一種自動散播的蠕蟲去入侵有漏洞的伺服器。

注意： 微軟將此項漏洞評級為 "高危"。

最近有研究提出這項漏洞的影響的範圍會更加廣泛，包括 Java-based 網頁伺服器和其他 IIS 上與 WebDAV 無關的問題。更詳細的資料將會陸續發佈。請參考 "相關連結" 內的 NGSSoftware 網址。(更新於 2003年3月24日)

微軟發現視窗 NT 4.0 也包含有漏洞的 ntdll.dll, 但是它並不支援 WebDAV，所以已知的攻擊方法對視窗 NT 4.0 是沒有影響的。最近，微軟亦注視這個漏洞對視窗 XP 也構成影響。但是，視窗 NT 4.0和視窗 XP 沒有預言設安裝網頁伺服器 (IIS)。 (更新於 2003年5月30日)

影響

執行攻擊者自訂的程式碼

• Microsoft Windows NT 4.0 (更新於 2003年5月30日)
• Microsoft Windows NT 4.0 Terminal Server Edition (更新於 2003年5月30日)
• 啟動了 IIS 5.0 的微軟視窗 2000 系統
• Microsoft Windows XP (更新於 2003年5月30日)
  
• Java-based 網頁伺服器 (請參考 "相關連結" 內的 NGSSoftware 網址) (更新於 2003年3月24日)

解決方案

請於安裝修補程式前瀏覽軟件供應商之網頁，以獲得更詳盡的資料。

請在這裡下載修補程式：

微軟視窗 NT 4.0: (更新於 2003年5月30日)

• 除了日文 NEC 和中文 - 香港以外的所有語言版本
• 日文 NEC
• 中文 - 香港

微軟視窗 NT4.0, 終端伺服器版本: (更新於 2003年5月30日)

• 所有

微軟視窗 2000:

• 除了日文 NEC 以外的所有語言版本
• 日文 NEC

微軟視窗 XP: (更新於 2003年5月30日)

• 32-bit 版本
• 64-bit 版本

安裝平台：

• 這個修補程式能夠安裝在視窗 2000 Service Pack 2 或 Service Pack 3.

關閉受影響的服務：

直至安裝修補程式前，你可以考慮關閉 IIS。要知道是否運行了 IIS，微軟建議下列的檢查:

移至 "開始 | 設定 | 控制台 | 系統管理工具"。如果列出 "萬維網絡出版 (World Wide Web Publishing)" 的服務表示已安裝了 IIS。

要關閉 IIS，執行 IIS lockdown 工具程式。此工具程式可在這裡下載:

http://www.microsoft.com/downloads/release.asp?ReleaseID=43955

如果你不能關閉 IIS，可以考慮使用 IIS lockdown 工具程式去關閉 WebDAV (在執行 IIS lockdown 工具程式時可以選擇移除 WebDAV)。 另外，你亦可以依照微軟資料庫的技術文件 241520 "How to Disable WebDAV for IIS 5.0" 內的指示去關閉 WebDAV：

http://support.microsoft.com/default.aspx?scid=kb;en-us;241520

限制緩衝區的體積：

如果你不能使用 IIS lockdown 工具程式或 URLScan，請考慮使用微軟的 URL 緩衝區體積登錄編輯工具程式來限制 IIS 處理請求時的緩衝區體積。這工具程式可以在本機或遠端的視窗 2000 Service Pack 2 或 Service Pack 3 上執行。如何使用這個工具程式和手動修改登錄項目的指引可以在下列網址找到：

URL 緩衝區體積登錄編輯工具程式 - http://go.microsoft.com/fwlink/?LinkId=14875
微軟資料庫的技術文件 816930 - http://support.microsoft.com/default.aspx?scid=kb;en-us;816930
微軟資料庫的技術文件 260694 - http://support.microsoft.com/default.aspx?scid=kb;en-us;260694

你亦可以考慮使用 URL Scan，它可以阻隔攻擊此項漏洞的網頁請求。有關 URL Scan 的資料可以以在下列網址找到：

http://support.microsoft.com/default.aspx?scid=kb;[LN];326444

相關連結

• http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp
• http://www.cert.org/advisories/CA-2003-09.html
• http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22029
• http://isc.incidents.org/analysis.html?id=183
• http://www.network-box.com/?keywords=home:threat&id=nb-can-2003-0109
• http://www.nextgenss.com/papers/ms03-007-ntdll.pdf (更新於 2003年3月24日)

資料來源

• 微軟
• CERT/CC
• ISS
• NGSSoftware

漏洞識別碼

• CAN-2003-0109

上一頁

編寫於 2003年3月18日
譯於 2003年3月18日
最後更新於 2003年5月30日