CVE-2002-1695
CVSS5.0
发布时间 :2002-12-31 00:00:00
修订时间 :2008-09-05 16:31:16
NMCO    

[原文]Norton Internet Security 2001 opens log files with FILE_SHARE_READ and FILE_SHARE_WRITE permissions, which could allow remote attackers to modify the log file contents while Norton Internet Security is running.


[CNNVD]多个厂商产品允许非特权用户修改日志文件漏洞(CNNVD-200212-649)

        
        多个厂商的应用软件包括(IIS 4.0和Norton Internet Security 2001)的日志文件属性设置不安全,允许拥有本地权限的非特权用户修改日志文件。
        缺省情况下,微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中,该日志文件位于 %WinDir%\System32\LogFiles\W3SVC1目录下,每天都会创建一个日志文件。
        WEB Server运行时,用户无法删除当天的日志文件,因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。
        对于运行II4的Windows NT4 SP6a,这个日志文件的缺省权限是
        Administrators : Full Control
        Everyone : Change (RWXD)
        IUSR_ComputerName : Full Control
        System : Full Control
        即Everyone group的成员可以读、写、执行、删除该文件,而IIS内置帐号对这个日志文件拥有完全控制权限。然而,与服务控制管理数据库相关联的DACL禁止Everyone group成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是,由于inetinfo.exe打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数。其它应用程序可以使用 OpenFile Win32 API ,指定 (OF_REOPEN|OF_READWRITE) 参数,再次打开当天的日志文件。此时,不必停止W3SVC服务,就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时,就可利用这点清除日志。
        比如,针对IIS4做完UNICODE攻击后,不必提升到SYSTEM权限停止W3SVC服务,就可以
        擦除日志。注意,这需要IUSR_ComputerName(内置帐号)权限,而这可通过UNICODE漏
        洞获取。
        Norton Internet Security 2001 分别在如下日志文件中记录攻击和告警
         \Program Files\Norton Internet Security\iamfw.rel
         \Program Files\Norton Internet Security\iamalert.rel
        如果所在文件系统是NTFS,这两个日志文件的缺省权限是
        Everyone : Full Control
        NIS 2001打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数,存在类似的安全问题。
        这里暴露出来的问题不仅仅存在于Microsoft、Symantec的产品中,其它厂商的产品在打开敏感文件时,很可能也以类似方式使用 FILE_SHARE_READ 和 FILE_SHARE_WRITE
        参数。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:symantec:norton_internet_security:2001
cpe:/a:microsoft:internet_information_server:4.0Microsoft IIS 4.0
cpe:/a:microsoft:internet_information_server:5.0

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1695
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-1695
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200212-649
(官方数据源) CNNVD

- 其它链接及资源

http://xforce.iss.net/xforce/xfdb/7919
(UNKNOWN)  XF  iis-modify-log(7919)
http://www.securityfocus.com/bid/3888
(UNKNOWN)  BID  3888

- 漏洞信息

多个厂商产品允许非特权用户修改日志文件漏洞
中危 设计错误
2002-12-31 00:00:00 2005-10-20 00:00:00
远程  
        
        多个厂商的应用软件包括(IIS 4.0和Norton Internet Security 2001)的日志文件属性设置不安全,允许拥有本地权限的非特权用户修改日志文件。
        缺省情况下,微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中,该日志文件位于 %WinDir%\System32\LogFiles\W3SVC1目录下,每天都会创建一个日志文件。
        WEB Server运行时,用户无法删除当天的日志文件,因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。
        对于运行II4的Windows NT4 SP6a,这个日志文件的缺省权限是
        Administrators : Full Control
        Everyone : Change (RWXD)
        IUSR_ComputerName : Full Control
        System : Full Control
        即Everyone group的成员可以读、写、执行、删除该文件,而IIS内置帐号对这个日志文件拥有完全控制权限。然而,与服务控制管理数据库相关联的DACL禁止Everyone group成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是,由于inetinfo.exe打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数。其它应用程序可以使用 OpenFile Win32 API ,指定 (OF_REOPEN|OF_READWRITE) 参数,再次打开当天的日志文件。此时,不必停止W3SVC服务,就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时,就可利用这点清除日志。
        比如,针对IIS4做完UNICODE攻击后,不必提升到SYSTEM权限停止W3SVC服务,就可以
        擦除日志。注意,这需要IUSR_ComputerName(内置帐号)权限,而这可通过UNICODE漏
        洞获取。
        Norton Internet Security 2001 分别在如下日志文件中记录攻击和告警
         \Program Files\Norton Internet Security\iamfw.rel
         \Program Files\Norton Internet Security\iamalert.rel
        如果所在文件系统是NTFS,这两个日志文件的缺省权限是
        Everyone : Full Control
        NIS 2001打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数,存在类似的安全问题。
        这里暴露出来的问题不仅仅存在于Microsoft、Symantec的产品中,其它厂商的产品在打开敏感文件时,很可能也以类似方式使用 FILE_SHARE_READ 和 FILE_SHARE_WRITE
        参数。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 为了解决这个问题,微软建议针对相关目录(比如,W3svc、W3svc1、Msftpsvc1等等)做如下修正
        1) 删除 IUSR_ComputerName 帐号
        2) 使Everyone group对相应目录只读
        做为开发人员,应该在打开日志文件时仅指定 FILE_SHARE_READ 参数。
        同时,在NTFS文件系统上确认只有特权用户、组才能对日志文件做写操作。
        厂商补丁:
        Microsoft
        ---------
        微软确认IIS 4的缺省安装受此问题影响,IIS 5的缺省安装不受此问题影响。微软将 在IIS Lockdown Tool中包含对日志文件权限设置的检查。此外微软建议阅读
        
        http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/iis4cl.asp

        
        http://support.microsoft.com/default.aspx?scid=kb;EN-US;q315986

        Symantec
        --------
        Symantec认为这是一个低风险漏洞,并承诺尽快修正此问题。 我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.symantec.com/sabu/nis/nis_pe/

- 漏洞信息

6264
Symantec Norton Internet Security 2001 Log File Modification
Local Access Required Input Manipulation
Loss of Integrity
Exploit Unknown

- 漏洞描述

Symantec Norton Internet Security contains a flaw that may allow a malicious user to manipulate log files. The problem is that log files are opened with FILE_SHARE_READ and FILE_SHARE_WRITE share access parameter. It is possible that the flaw may allow a malicous user to manipulate log files resulting in a loss of integrity.

- 时间线

2002-01-14 2002-01-07
Unknow Unknow

- 解决方案

Currently, there are no known workarounds or upgrades to correct this issue. However, Symantec has released a patch to address this vulnerability.

- 相关参考

- 漏洞作者

 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站