近日，互联网上披露了关于Microsoft IIS 缓冲区错误漏洞（CNNVD-201703-1074）情况，相关公告称该漏洞至少于2016年8月起被利用。由于Microsoft已停止对Windows Server 2003的服务更新，仍在使用相关产品并开启了WebDAV服务的用户将受到严重影响，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下：

一、漏洞简介

        Microsoft Windows Server 2003 R2是美国微软（Microsoft）公司发布的一套服务器操作系统。Internet Information Services（IIS）是一套运行于Microsoft Windows中的互联网基本服务。

        Microsoft Windows Server 2003 R2中的IIS 6.0版本中的WebDAV服务的'ScStoragePathFromUrl'函数存在缓冲区溢出漏洞（CNNVD-201703-1074，CVE-2017-7269）。该漏洞由于'ScStoragePathFromUrl'函数被调用两次。远程攻击者可通过发送特制的PROPFIND请求利用该漏洞执行任意代码。  

二、漏洞危害

        若服务器开启了WebDAV服务，远程攻击者可通过构造恶意的PROPFIND请求来利用该漏洞，导致攻击者可在服务器上执行任意命令，进一步控制服务器。

三、修复措施

        目前，微软官方已停止对Windows Server 2003的扩展支持，暂无修复补丁，且漏洞利用代码已在互联网上公布，请受影响的用户尽快采取临时缓解措施或尽快迁移系统，以规避漏洞可能产生的风险。

        【临时缓解】

        关闭WebDAV服务

        使用相关防护软件或防护设备

        本通报由CNNVD技术支撑单位——北京白帽汇科技有限公司提供支持。

        CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

         联系方式: [email protected]