多个厂商产品允许非特权用户修改日志文件漏洞

admin
admin
admin
0
文章
0
评论
2022-07-22 08:22:57 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

多个厂商产品允许非特权用户修改日志文件漏洞

  • CNNVD编号:CNNVD-200212-079
  • 危害等级: 低危
  • CVE编号: CVE-2002-1694
  • 漏洞类型: 设计错误
  • 发布时间: 2002-01-16
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: microsoft
  • 漏洞来源: Information Anarch...

漏洞简介

多个厂商的应用软件包括(IIS 4.0和Norton Internet Security 2001)的日志文件属性设置不安全,允许拥有本地权限的非特权用户修改日志文件。 缺省情况下,微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中,该日志文件位于 \\%WinDir\\%\System32\LogFiles\W3SVC1目录下,每天都会创建一个日志文件。 WEB Server运行时,用户无法删除当天的日志文件,因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。 对于运行II4的Windows NT4 SP6a,这个日志文件的缺省权限是 Administrators : Full Control Everyone : Change (RWXD) IUSR_ComputerName : Full Control System : Full Control 即Everyone group的成员可以读、写、执行、删除该文件,而IIS内置帐号对这个日志文件拥有完全控制权限。然而,与服务控制管理数据库相关联的DACL禁止Everyone group成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是,由于inetinfo.exe打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数。其它应用程序可以使用 OpenFile Win32 API ,指定 (OF_REOPEN|OF_READWRITE) 参数,再次打开当天的日志文件。此时,不必停止W3SVC服务,就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时,就可利用这点清除日志。 比如,针对IIS4做完UNICODE攻击后,不必提升到SYSTEM权限停止W3SVC服务,就可以 擦除日志。注意,这需要IUSR_ComputerName(内置帐号)权限,而这可通过UNICODE漏 洞获取。 Norton Internet Security 2001 分别在如下日志文件中记录攻击和告警 \Program Files\Norton Internet Security\iamfw.rel \Program Files\Norton Internet Security\iamalert.rel 如果所在文件系统是NTFS,这两个日志文件的缺省权限是 Everyone : Full Control NIS 2001打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数,存在类似的安全问题。 这里暴露出来的问题不仅仅存在于Microsoft、Symantec的产品中,其它厂商的产品在打开敏感文件时,很可能也以类似方式使用 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数。

漏洞公告

临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 为了解决这个问题,微软建议针对相关目录(比如,W3svc、W3svc1、Msftpsvc1等等)做如下修正

1) 删除 IUSR_ComputerName 帐号

2) 使Everyone group对相应目录只读

做为开发人员,应该在打开日志文件时仅指定 FILE_SHARE_READ 参数。

同时,在NTFS文件系统上确认只有特权用户、组才能对日志文件做写操作。 厂商补丁: Microsoft --------- 微软确认IIS 4的缺省安装受此问题影响,IIS 5的缺省安装不受此问题影响。微软将 在IIS Lockdown Tool中包含对日志文件权限设置的检查。此外微软建议阅读

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/iis4cl.asp

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q315986 Symantec -------- Symantec认为这是一个低风险漏洞,并承诺尽快修正此问题。 我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.symantec.com/sabu/nis/nis_pe/

参考网址

来源: XF 名称: iis-modify-log(7919) 链接:http://xforce.iss.net/xforce/xfdb/7919 来源: BID 名称: 3888 链接:http://www.securityfocus.com/bid/3888 来源:NSFOCUS 名称:2160 链接:http://www.nsfocus.net/vulndb/2160

受影响实体

  • Microsoft Internet_information_server:4.0  
  • Microsoft Internet_information_server:4.0:Symantec  
  • Microsoft Internet_information_server:5.0  
  • Microsoft Internet_information_services:5.0  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0