Microsoft Commerce Server ISAPI远程缓冲区溢出漏洞(MS02-033)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204705 漏洞类型 边界条件错误
发布时间 2002-02-21 更新时间 2006-08-30
CVE编号 CVE-2002-0050 CNNVD-ID CNNVD-200203-005
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200203-005
|漏洞详情
MicrosoftCommerceServer是一款Microsoft开发的构建、配置和分析电子商务站点的WEB服务产品。CommerceServer使用的AuthFilterISAPI过滤器对用户提交数据缺少正确边界检查,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击。CommerceServer使用的AuthFilter提供多种验证模式,不过CommerceServer2000也可以配置成其他的验证模式。AuthFilter在处理部分验证请求时部分代码没有对缓冲区进行正确的检查,攻击者可以提供超长的验证数据而导致缓冲区溢出,使CommerceServer服务崩溃,精心构建验证数据可能使攻击者以CommerceServer进程的权限执行任意指令,一般是LocalSystem的权限。此漏洞类似MicrosoftSecurityBulletinMS02-010(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-010.asp)所描述漏洞。<*链接:http://www.microsoft.com/technet/security/bulletin/MS02-033.asp*>
|参考资料

来源:MS
名称:MS02-010
链接:http://www.microsoft.com/technet/security/bulletin/ms02-010.asp
来源:BID
名称:4157
链接:http://www.securityfocus.com/bid/4157