近日,互联网上披露了关于Microsoft IIS 缓冲区错误漏洞(CNNVD-201703-1074)情况,相关公告称该漏洞至少于2016年8月起被利用。由于Microsoft已停止对Windows Server 2003的服务更新,仍在使用相关产品并开启了WebDAV服务的用户将受到严重影响,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
一、漏洞简介
Microsoft Windows Server 2003 R2是美国微软(Microsoft)公司发布的一套服务器操作系统。Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。
Microsoft Windows Server 2003 R2中的IIS 6.0版本中的WebDAV服务的'ScStoragePathFromUrl'函数存在缓冲区溢出漏洞(CNNVD-201703-1074,CVE-2017-7269)。该漏洞由于'ScStoragePathFromUrl'函数被调用两次。远程攻击者可通过发送特制的PROPFIND请求利用该漏洞执行任意代码。
二、漏洞危害
若服务器开启了WebDAV服务,远程攻击者可通过构造恶意的PROPFIND请求来利用该漏洞,导致攻击者可在服务器上执行任意命令,进一步控制服务器。
三、修复措施
目前,微软官方已停止对Windows Server 2003的扩展支持,暂无修复补丁,且漏洞利用代码已在互联网上公布,请受影响的用户尽快采取临时缓解措施或尽快迁移系统,以规避漏洞可能产生的风险。
【临时缓解】
关闭WebDAV服务
使用相关防护软件或防护设备
本通报由CNNVD技术支撑单位——北京白帽汇科技有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: [email protected]
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论