漏洞信息详情
Microsoft IIS ASP头远程拒绝服务攻击漏洞(MS03-018)
- CNNVD编号:CNNVD-200306-048
- 危害等级: 低危
- CVE编号: CVE-2003-0225
- 漏洞类型: 边界条件错误
- 发布时间: 2003-05-27
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: microsoft
- 漏洞来源: Microsoft Security...
漏洞简介
Microsoft IIS 5.0(Internet Infomation Server 5)是Microsoft Windows 2000自带的一个网络信息服务器,其中包含HTTP服务功能。 Microsoft IIS在处理超大ASP头请求时存在问题,远程攻击者可以利用这个漏洞对服务进行拒绝服务攻击。 由于IIS 4.0和5.0当构建头返回给WEB客户端时配置内存请求存在缺陷,可导致发生拒绝服务问题。攻击者要利用这个漏洞需要上传ASP页给有此漏洞的IIS服务器,当攻击者调用这个恶意ASP页时,会尝试返回超大头给调用的WEB客户端。由于IIS没有限制调用的内存分配,可导致IIS最终产生拒绝服务,停止对正常服务的响应。
漏洞公告
厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS03-018)以及相应补丁:
MS03-018:Cumulative Patch for Internet Information Service (811114)
链接: http://www.microsoft.com/technet/security/bulletin/MS03-018.asp
补丁下载,此补丁需要用户先安装MS02-50的补丁:
Microsoft IIS 4.0:
Microsoft Patch Q811114
http://microsoft.com/downloads/details.aspx?FamilyId=1DBC1914-98E9-4DED-ADBF-E9B374A1F79D&displaylang=en
IIS 4.0补丁需要安装在运行了Windows NT 4.0 Service Pack 6a的系统。
Microsoft IIS 5.0:
Microsoft Patch Q811114
http://microsoft.com/downloads/details.aspx?FamilyId=2F5D9852-4ADD-44F8-8715-AC3D7D7D94BF&displaylang=en
IIS 5.0补丁需要安装在运行了Windows 2000 Service Pack 2或Service Pack 3的系统。
参考网址
来源: MS 名称: MS03-018 链接:http://www.microsoft.com/technet/security/bulletin/ms03-018.asp 来源: www.aqtronix.com 链接:http://www.aqtronix.com/Advisories/AQ-2003-01.txt 来源: NTBUGTRAQ 名称: 20030418 Microsoft Active Server Pages DoS 链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=105110606122772&w=2 来源: US Government Resource: oval:org.mitre.oval:def:373 名称: oval:org.mitre.oval:def:373 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:373
受影响实体
- Microsoft Internet_information_server:5.0
- Microsoft Internet_information_server:4.0
- Microsoft Internet_information_services:5.0
补丁
暂无
评论