Microsoft IIS WebDAV Unicode请求绕过认证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1182769 漏洞类型 未知
发布时间 2009-05-18 更新时间 2009-06-12
CVE编号 CVE-2009-1676 CNNVD-ID CNNVD-200905-237
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200905-237
|漏洞详情
MicrosoftInternet信息服务(IIS)是MicrosoftWindows自带的一个网络信息服务器,其中包含HTTP服务功能。IIS的WebDAV功能在解析URI并发送回数据时没有正确地处理Unicode令牌环,远程攻击者可以通过提交恶意HTTPGET请求绕过受口令保护的文件夹的认证,或在受口令保护的WebDAV目录中列出、上传或下载文件。
|参考资料
http://www.securityfocus.com/data/vulnerabilities/exploits/34993.rb※http://www.securityfocus.com/data/vulnerabilities/exploits/34993_cadaver-0.23.2-h4x.patch※http://www.securityfocus.com/data/vulnerabilities/exploits/34993.php※http://www.securityfocus.com/data/vulnerabilities/exploits/34993.pl※http://www.securityfocus.com/data/vulnerabilities/exploits/34993.py※http://www.securityfocus.com/data/vulnerabilities/exploits/34993.txt※http://blogs.technet.com/srd/archive/2009/05/20/answers-to-the-iis-webdav-authentication-bypass-questions.aspx※http://blog.zoller.lu/2009/05/iis-6-webdav-unicode-bug-that-wont-die.html※http://milw0rm.com/sploits/2009-IIS-Advisory.pdf※http://www.microsoft.com/windowsserver2003/iis/default.mspx※http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx※http://technet.microsoft.com/en-us/security/cc242650.aspx※http://www.skullsecurity.org/blog/?p=285※http://www.securityfocus.com/archive/1/503857※http://support.avaya.co