首頁 -> 安全研究

安全研究

安全公告
綠盟科技安全公告(SA2001-02)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Microsoft IIS CGI文件名錯誤解碼漏洞

發布日期:2001-05-15

CVE ID:CVE-2001-0333

受影響的軟件及系統:
====================
- Microsoft IIS 4.0
- Microsoft IIS 5.0

未受影響的軟件及系統:
======================
- Windows IIS 4.0 (sp6/sp6a 沒有安裝其他新的hotfix)

綜述:
======
NSFOCUS安全小組發現微軟IIS 4.0/5.0在處理CGI程序文件名時存在一個安全漏洞,由于錯誤地對文件名進行了兩次解碼,攻擊者可能利用這個漏洞執行任意系統命令。

分析:
======
IIS在加載可執行CGI程序時,會進行兩次解碼。第一次解碼是對CGI文件名進行http解碼,然后判斷此文件名是否為可執行文件,例如檢查后綴名是否為".exe"或".com"等等。在文件名檢查通過之后,IIS會再進行第二次解碼。正常情況下,應該只對該CGI的參數進行解碼,然而,IIS錯誤地將已經解碼過的CGI文件名和CGI參數一起進行解碼。這樣,CGI文件名就被錯誤地解碼了兩次。

通過精心構造CGI文件名,攻擊者可以繞過IIS對文件名所作的安全檢查,例如對"../"或"./"的檢查,在某些條件下,攻擊者可以執行任意系統命令。

例如,對于'\'這個字符,正常編碼后是%5c。這三個字符對應的編碼為:
'%' = %25
'5' = %35
'c' = %63

如果要對這三個字符再做一次編碼,就可以有多種形式,例如:
%255c
%%35c
%%35%63
%25%35%63
...

因此,"..\"就可以表示成"..%255c"或"..%%35c"等等形式。

在經過第一次解碼之后,變成"..%5c"。IIS會認為這是一個正常的字符串,不會違反安全規則檢查。而在第二次被解碼之后,就會變成"..\"。因此攻擊者就可以使用"..\"來進行目錄遍歷,執行web目錄之外的任意程序。

測試方法:
==========
例如,如果TARGET存在一個虛擬可執行目錄(scripts),并且它與windows系統在同一驅動器上。那么提交類似下列請求:

http://TARGET/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

就會列出C:\的根目錄。

當然,對于'/'或者'.'做變換同樣可以達到上面的效果。
例如:"..%252f", ".%252e/"...

注意:攻擊者只能以IUSER_machinename用戶的權限執行命令。

解決方法:
==========
1、如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如 /scripts等等。
2、如果確實需要可執行的虛擬目錄,建議將可執行虛擬目錄單獨放在一個分區
3、將所有可被攻擊者利用的命令行工具移到另外一個目錄中并禁止GUEST組訪問。

廠商狀態:
==========
2001.3.27  我們將這個問題通報給了微軟公司。
2001.4.01  微軟告知重現了這個問題
2001.4.16  微軟提供了補丁程序供測試,測試發現此問題已被解決
2001.4.23  微軟請求我們延遲2個星期發布公告以等待更完善的測試
2001.4.30  微軟告知我們還須再推遲一個星期發布
2001.5.14  微軟已就此發布了一個安全公告(MS01-026)以及相應補丁

您可以在下列地址看到微軟安全公告的詳細內容:

http://www.microsoft.com/technet/security/bulletin/ms01-026.asp

補丁程序可以在下列地址下載:

. Microsoft IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787

. Microsoft IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
浙江快乐彩网上投注