漏洞信息详情

Microsoft Internet Information Services 安全漏洞

• CNNVD编号：CNNVD-199701-007
• 危害等级： 高危
  
• CVE编号： CVE-1999-0253
• 漏洞类型： 其他
• 发布时间： 1997-01-01
• 威胁类型： 远程
• 更新时间： 2021-08-16
• 厂        商： microsoft
• 漏洞来源： Weld Pond※ weld@at...

漏洞简介

Microsoft Internet Information Services（IIS）是美国微软（Microsoft）公司的一款适用于Windows Server平台的Web服务器。

Microsoft IIS存在安全漏洞。IIS 3.0在对于某些不正常的HTTP请求的处理上存在问题，可导致CGI源代码泄漏给远程攻击者。该问题是一个输入验证错误。IIS是通过文件扩展名来决定将一个文件内容直接显示出来还是作为脚本执行的。对于asp文件，如果请求中的扩展名是\".asp\"那么IIS可以正确处理。如果将扩展名后面加一个\".\"或者编码为\"\\%2e\"，IIS讲不认为这是一个ASP文件而会直接显示出文件内容。但是文件系统会忽略文件名后的\".\"，可以正确找到文件。

漏洞公告

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 将所有CGI移到一个目录下，将此目录权限设为允许执行，不允许读取。

厂商补丁：

Microsoft

---------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/chs/security/fesrc-fix/

或者安装SP4及其以上版本。

参考网址

来源:http://nvd.nist.gov/nvd.cfm?cvename=CVE-1999-0253※http://www.securityfocus.com/bid/1814※http://www.nsfocus.net/vulndb/3423

链接:无

受影响实体

• Microsoft Internet_information_server:1.0  
• Microsoft Internet_information_server:2.0  
• Microsoft Internet_information_server:3.0  

补丁

• Microsoft IIS 安全漏洞的修复措施