Microsoft Windows NTFS不正确硬连接审核漏洞发布时间:2002-08-21 更新时间:2002-08-21 严重程度:中 威胁程度:隐蔽攻击 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:5484 CVE(CAN) ID:CAN-2002-0725 受影响系统 Microsoft Windows 2000 Advanced Server SP2详细描述 Windows 2000的NTFS系统提供硬连接支持,为了与POSIX 子系统兼容。Windows NT 3.51和NT 4.0使用Win32 API function BackupWrite()函数,Windows 2000 使用Win32 API function CreateHardLink()函数。 WINDOWS 2000的审核机制对处理硬连接文件系统事件记录存在问题,当建立对其他文件建立硬连接的时候会记录事件,但记录成原始文件被读取("ReadAttributes"),而对是否建立了硬连接没有记录。而且如果用户通过访问硬连接访问原始文件,记录机制只会记录硬连接文件名,而原始文件将不记录。 这样如果访问完原始文件后,删除硬连接,审核记录将不能跟踪访问的相关文件。 测试代码 无 解决方案 增加新的审核事件如'Hard link creation attempt'。 建立管理使用HLSCAN.EXE工具搜索硬连接,这个工具可以在如下地址获得: http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/hlscan-o.asp 补丁下载: Microsoft Windows 2000 Advanced Server SP2: Microsoft Upgrade Windows 2000 SP3 http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/sp3lang.asp Microsoft Windows 2000 Datacenter Server SP2: Microsoft Windows 2000 Professional SP2: Microsoft Upgrade Windows 2000 SP3 http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/sp3lang.asp Microsoft Windows 2000 Server SP2: Microsoft Upgrade Windows 2000 SP3 http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/sp3lang.asp 相关信息 @stake. 参考:http://online.securityfocus.com/advisories/4403 |
