xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Microsoft Commerce Server 2000 ISAPI存在缓冲溢出漏洞


发布时间:2002-02-25
更新时间:2002-02-25
严重程度:
威胁程度:远程管理员权限
错误类型:边界检查错误
利用方式:服务器模式

BUGTRAQ ID:4157

受影响系统
Microsoft Commerce Server 2000
   - Microsoft Windows 2000 Advanced Server SP1
   - Microsoft Windows 2000 Advanced Server SP2
   - Microsoft Windows 2000 Server SP1
   - Microsoft Windows 2000 Server SP2
详细描述
Microsoft Commerce Server 2000 是用于构建电子商务站点的WEB服务程序,使用
IIS提供基本的WEB服务功能。

其中的AuthFilter ISAPI 过滤器是Microsoft Commerce Server 2000 使用的支持用户认证的工具,存在对缓冲没有正确的检查,提供超多的字符串可以导致缓冲溢
出而可以以SYSTEM权利执行任意代码。

测试代码
尚无

解决方案
下载使用如下补丁程序:

Microsoft Commerce Server 2000 :

Microsoft Patch Q317615
http://download.microsoft.com/download/comserver/Patch/1.0/NT5/EN-US/Q317615_COMMERCE_2000_EN.EXE

相关信息
参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-010.asp
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved