CVE-2000-0457
CVSS7.5
发布时间 :2000-05-11 00:00:00
修订时间 :2016-10-17 22:07:03
NMCOE    

[原文]ISM.DLL in IIS 4.0 and 5.0 allows remote attackers to read file contents by requesting the file and appending a large number of encoded spaces (%20) and terminated with a .htr extension, aka the ".HTR File Fragment Reading" or "File Fragment Reading via .HTR" vulnerability.


[CNNVD]Microsoft IIS 4.0/5.0 .HTR文件名截断泄漏文件内容漏洞(MS00-031)(CNNVD-200005-043)

        
        IIS是一款Windows NT/2000系统自带的的Web服务器软件,由Microsoft公司开发维护。IIS支持对一些特定文件名后缀(如.ASP、.IDC、.HTR)的文件请求执行进一步的处理,当服务器接到此类文件的请求时,每种后缀的文件由一个特定的DLL文件处理。ISM.DLL用于处理.HTR、.STM、.IDC为后缀的文件请求。
        Cerberus 安全小组发现微软的IIS 4/5存在一个缺陷,允许攻击者访问那些本来无权访问的文件。比如/scripts目录下的文本文件(.txt、.log、.ini)通常是不可访问的,因为这个虚拟目录只有执行权限。利用这个缺陷,就有可能访问得到这些文本文件的内容。
        通过给IIS提供一个特殊格式的请求,有可能获得这些文件的内容。提供一个请求,文件名后跟随大约230个空格(+或者%20),以.htr做后缀,于是IIS认为客户端正在请求一个.htr文件。.htr扩展文件被映射成 ISM.DLL ISAPI 应用程序,IIS会重定向所有针对.htr资源的请求到 ISM.DLL ,ISM.DLL 打开这个文件并执行之。 但是在这样做之前,ISM.DLL 会截断送给自己的缓冲区内容,去掉.htr后缀以及结尾的空格,于是我们想访问的文件内容被返回。这种攻击只能进行一次,直到WWW服务重启,将无法进行第二次攻击。此外,如果已经提交过一个.htr请求给目标主机,攻击也会失败。这个缺陷仅仅在ISM.DLL被调入内存后的第一时刻有效。
        

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

cpe:/a:microsoft:internet_information_server:5.0
cpe:/a:microsoft:internet_information_server:4.0Microsoft IIS 4.0

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0457
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2000-0457
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200005-043
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=95810120719608&w=2
(UNKNOWN)  BUGTRAQ  20000511 Alert: IIS ism.dll exposes file contents
http://www.microsoft.com/technet/security/bulletin/ms00-031.mspx
(UNKNOWN)  MS  MS00-031
http://www.securityfocus.com/bid/1193
(UNKNOWN)  BID  1193
http://xforce.iss.net/static/4448.php
(VENDOR_ADVISORY)  XF  iis-ism-file-access(4448)

- 漏洞信息

Microsoft IIS 4.0/5.0 .HTR文件名截断泄漏文件内容漏洞(MS00-031)
高危 访问验证错误
2000-05-11 00:00:00 2005-10-12 00:00:00
远程※本地  
        
        IIS是一款Windows NT/2000系统自带的的Web服务器软件,由Microsoft公司开发维护。IIS支持对一些特定文件名后缀(如.ASP、.IDC、.HTR)的文件请求执行进一步的处理,当服务器接到此类文件的请求时,每种后缀的文件由一个特定的DLL文件处理。ISM.DLL用于处理.HTR、.STM、.IDC为后缀的文件请求。
        Cerberus 安全小组发现微软的IIS 4/5存在一个缺陷,允许攻击者访问那些本来无权访问的文件。比如/scripts目录下的文本文件(.txt、.log、.ini)通常是不可访问的,因为这个虚拟目录只有执行权限。利用这个缺陷,就有可能访问得到这些文本文件的内容。
        通过给IIS提供一个特殊格式的请求,有可能获得这些文件的内容。提供一个请求,文件名后跟随大约230个空格(+或者%20),以.htr做后缀,于是IIS认为客户端正在请求一个.htr文件。.htr扩展文件被映射成 ISM.DLL ISAPI 应用程序,IIS会重定向所有针对.htr资源的请求到 ISM.DLL ,ISM.DLL 打开这个文件并执行之。 但是在这样做之前,ISM.DLL 会截断送给自己的缓冲区内容,去掉.htr后缀以及结尾的空格,于是我们想访问的文件内容被返回。这种攻击只能进行一次,直到WWW服务重启,将无法进行第二次攻击。此外,如果已经提交过一个.htr请求给目标主机,攻击也会失败。这个缺陷仅仅在ISM.DLL被调入内存后的第一时刻有效。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 删除.HTR文件扩展到ISM.DLL文件的映射:
        -点击开始 | 程序 | Windows NT 4.0 Option Pack | Microsoft Internet 信息服务 | Internet 服务管理器,启动Internet 服务管理器;
        -双击"Internet 信息服务";
        -右击计算机名,选择特性;
        -在master属性下拉框,选择"WWW 服务",接着点击"编辑"按钮;
        -点击"主目录"菜单条,接着点击"配置"按钮;
        -在扩展映射里选中".htr"选项,接着点击"删除"按钮;
        -系统提示"删除指定的脚本映射?"时,回答"是"。点击"是"三次,关闭ISM,然后重启IIS服务。
        厂商补丁:
        Microsoft
        ---------
        Microsoft已经为此发布了一个安全公告(MS00-031)以及相应补丁:
        MS00-031:Patch Available for "Undelimited .HTR Request" and "File Fragment Reading via .HTR" Vulnerabilities
        链接:
        http://www.microsoft.com/technet/security/bulletin/MS00-031.asp

        补丁下载:
        - Internet Information Server 4.0:
        
        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20905

        - Internet Information Server 5.0:
        
        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20903

- 漏洞信息 (19908)

Microsoft IIS 4.0/5.0 Malformed Filename Request Vulnerability (EDBID:19908)
windows remote
2000-05-11 Verified
0 Cerberus Security Team
N/A [点击下载]
source: http://www.securityfocus.com/bid/1193/info

Requesting a known filename with the extension replaced with .htr preceeded by approximately 230 "%20" (which is an escaped character that represents a space) from Microsoft IIS 4.0/5.0 will cause the server to retrieve the file and its contents. This is due to the .htr file extension being mapped to ISM.DLL ISAPI application which redirects .htr file requests to ISM.DLL. ISM.DLL removes the extraneous "%20" and replaces .htr with the proper filename extension and reveals the source of the file. This vulnerability is similar to a more recently discovered variant, BugTraq ID 1488. 

This action can only be performed if a .htr request has not been previously made or if ISM.DLL is loaded into memory for the first time. If an .htr request has already been made, a restart of the web server is necessary in order to perform another.

http://target/filename%20(repeated approx 230 times).htr		

- 漏洞信息

1325
Microsoft IIS Malformed Filename Request File Fragment Disclosure
Remote / Network Access Information Disclosure
Loss of Confidentiality
Exploit Public

- 漏洞描述

- 时间线

2000-05-11 Unknow
2000-05-11 Unknow

- 解决方案

Products

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站