|
|
微软FTP用户帐号安全漏洞
发布时间:2001-05-18
更新时间:2001-05-18
严重程度:高
威胁程度:权限提升
错误类型:设计错误
利用方式:服务器模式
受影响系统Microsoft IIS 5.0
+ Microsoft Windows 2000 SP1
+ Microsoft Windows 2000
Microsoft IIS 4.0
- Microsoft Windows NT 4.0SP6a
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP6
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP5
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP4
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP3
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP2
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
+ Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.0
- Microsoft Windows NT 4.0 详细描述
微软IIS在处理FTP域认证中存在缺陷,当用户希望通过域用户帐号而不
是本地帐号登录一台FTP服务器时,他应该首先提交该域的名字,但用户提
交带有特殊字符串的登陆名字,FTP会搜索该域和任意其他受信的域,一旦
帐户搜索到,用户就完成认证过程,这样就存在暴力攻击尝试。
测试代码
尚无
解决方案
下载补丁:
Microsoft IIS 5.0:
Microsoft patch Q293826_W2K_SP3_x86_en
http://download.microsoft.com/download/win2000platform/Patch/q293826/NT5/EN-US/Q293826_W2K_SP3_x86_en.EXE
Microsoft IIS 4.0:
Microsoft patch Q295534i
http://download.microsoft.com/download/winntsp/Patch/q293826/NT4/EN-US/Q295534i.exe
相关信息
|
