Microsoft IIS 4.0/5.0生成超大消息头拒绝服务攻击漏洞发布时间:2003-05-31 更新时间:2003-05-31 严重程度:高 威胁程度:远程拒绝服务 错误类型:意外情况处置错误 利用方式:服务器模式 CVE(CAN) ID:CAN-2003-0225 受影响系统 Microsoft IIS 4.0/5.0详细描述 Microsoft IIS 4.0/5.0在生成向客户端返回消息头时分配内存存在漏洞,攻击者需要向服务器上传一个恶意的ASP文件,此ASP文件会使服务器生成一个巨大的消息头,由于IIS在这种情况下对内存分配没有限制,当攻击者请求此恶意的ASP文件时会导致内存耗尽。 解决方案 厂商已经在一个累计补丁中修补了此漏洞: IIS 4.0: http://microsoft.com/downloads/details.aspx?FamilyId=1DBC1914-98E9-4DED-ADBF-E9B374A1F79D&displaylang=en IIS 5.0: http://microsoft.com/downloads/details.aspx?FamilyId=2F5D9852-4ADD-44F8-8715-AC3D7D7D94BF&displaylang=en IIS 5.1: http://microsoft.com/downloads/details.aspx?FamilyId=77CFE3EF-C5C5-401C-BC12-9F08154A5007&displaylang=en http://microsoft.com/downloads/details.aspx?FamilyId=86F4407E-B9BF-4490-9421-008407578D11&displaylang=en 相关信息 Microsoft Security Bulletin MS03-018 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-018.asp |
