2002年2月22日 微软发布今年第10号安全公告

Affected Software:
Microsoft Commerce Server 2000

微软商用服务器中ISAPI文件缓冲区溢出漏洞（MS02-010）
发布日期：2002-2-22
安全威胁：严重
安全影响：运行攻击者代码

受影响系统：

Microsoft Commerce Server 2000

漏洞描述：

　默认情况下，商用服务器2000（Microsoft Commerce Server 2000）安装了一个ISAPI过滤器的.dll文件，可让服务器提供扩展的功能。这个过滤器叫做AuthFilter，支持多种认证方式。
　AuthFilter在认证请求中存在缓冲区溢出问题。攻击者可以通过发送认证请求让服务器缓冲区溢出，并使用该进程的安全权限能运行任意代码。由于这个进行使用的是LocalSystem权限，所以攻击者能够完全控制这个服务器。

解决方案：

　　微软已经为此发布了一个安全公告（MS02-010）以及相应补丁程序：
　　http://www.microsoft.com/technet/security/bulletin/MS02-010.asp

补丁下载：

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36683
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-010.asp