|
|
Microsoft IIS不正规HTTP HOST头信息可导致拒绝服务攻击
发布时间:2002-10-11
更新时间:2002-10-11
严重程度:中
威胁程度:远程拒绝服务
错误类型:意外情况处置错误
利用方式:服务器模式
BUGTRAQ ID:5907
受影响系统Microsoft IIS 5.0
+ Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server SP2
+ Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
+ Microsoft Windows 2000 Server
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server SP2
Microsoft IIS 5.1
- Microsoft Windows XP Home
+ Microsoft Windows XP Professional 详细描述
Microsoft IIS存在漏洞可导致拒绝服务攻击。
IIS的shtml.dll在接收到包含不正规HOST头的HTTP请求时,可导致服务不稳定,攻击者只要提交包含多个"/"字符的HOST 头信息的请求,可导致IIS崩溃。
没有详细信息提供。
测试代码
使用SPIKE 2.7之后的相关截图:
http://www.immunitysec.com/inetinfo_spin.jpg
解决方案
无
相关信息
Dave Aitel <dave@immunitysec.com>.
参考:http://online.securityfocus.com/archive/1/294211
相关主页:http://www.immunitysec.com/spike.html
|
