CCERT编号:CCERT-2002-14
公告编者 : zln
发布时间: 2002-02-26 9:30
最后一次更新时间: 2002-02-26 9:38
公告来源: 微软安全公告

详细描述:

在缺省模式下，Commerce Server 2000安装了一个.dll文件,它是一个isapi过滤器能为服务器 提供扩展的功能以响应服务器上的事件。这个过滤器的名字叫认证过滤器（AuthFilter）， 提供了多种认证方式的支持。Commerce Server 2000 也能配置成其它的认证方式。
由于AuthFilter在处理某种类型的认证请求的代码段中包含了一个未加限制的缓冲区，导致了 一个安全隐患。如果攻击者提供了超过缓冲区长度的认证数据，将会导致Commerce Server进程 失败，或导致运行Commerce Server进程的安全上下文中的代码。
由于该进程拥有本地的优先级，那么一旦这个脆弱性被攻击者所利用，那么攻击者就获得服务器 的完全控制权。
风险:高

危害描述:

攻击者可以运行任意代码
- Internet系统：风险级别 严重
- Intranet系统：风险级别 严重
- 客户端系统： 风险级别 没有风险

解决方案:

- 尽管Commerce Server 2000依赖IIS来进行基本的web服务，但AuthFilter仅当作为Commerce Server的部分时才会发生作用。而用IIS的客户则不会受到这个脆弱性的影响。 - URL扫描工具如果配置成Commerce Server的缺省规则集，那么通过对包含在URL中的数据类型进行有效的限制，就可以让攻击者很难利用这个脆弱性运行代码。然而，这又可能导致服务拒绝攻击。 - 攻击者将控制权从一台受影响的web服务器扩展到其他机器的能力在很大程度上依赖于具体的网络配置。绝大多数的实践表明一个网络体系要想解决内在的高危险性，即机器都处于一个未受控制的环境中，象Internet，必须朝着将信息的完全暴露最小化的方向努力，而这可以通过采取象DMZ的措施，只提供最小限度的服务，并隔离与内部网络的联系。这些方法可以限制信息暴露，并能阻止攻击者扩大攻击范围。 - 尽管ISAPI过滤器是被缺省安装的，但它不会自动装载到任何网站上。它必须通过在微软管理控制台(MMC)中的Commerce Server控制台才能被激活。

补丁handle:

有一个补丁可以修复这个脆弱性。请阅读安全公告获得补丁信息http://www.microsoft.com/technet/security/bulletin/ms02-010.asp

参考连接:

http://www.microsoft.com/technet/security/bulletin/MS02-010.asp