多个厂商产品允许非特权用户修改日志文件漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204819 漏洞类型 设计错误
发布时间 2002-01-16 更新时间 2005-10-20
CVE编号 CVE-2002-1695 CNNVD-ID CNNVD-200212-649
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-649
|漏洞详情
多个厂商的应用软件包括(IIS4.0和NortonInternetSecurity2001)的日志文件属性设置不安全,允许拥有本地权限的非特权用户修改日志文件。缺省情况下,微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中,该日志文件位于%WinDir%\System32\LogFiles\W3SVC1目录下,每天都会创建一个日志文件。WEBServer运行时,用户无法删除当天的日志文件,因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。对于运行II4的WindowsNT4SP6a,这个日志文件的缺省权限是Administrators:FullControlEveryone:Change(RWXD)IUSR_ComputerName:FullControlSystem:FullControl即Everyonegroup的成员可以读、写、执行、删除该文件,而IIS内置帐号对这个日志文件拥有完全控制权限。然而,与服务控制管理数据库相关联的DACL禁止Everyonegroup成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是,由于inetinfo.exe打开日志文件时指定了FILE_SHARE_READ和FILE_SHARE_WRITE参数。其它应用程序可以使用OpenFileWin32API,指定(OF_REOPEN|OF_READWRITE)参数,再次打开当天的日志文件。此时,不必停止W3SVC服务,就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时,就可利用这点清除日志。比如,针对IIS4做完UNICODE攻击后,不必提升到SYSTEM权限停止W3SVC服务,就可以擦除日志。注意,这需要IUSR_ComputerName(内置帐号)权限,而这可通过UNICODE漏洞获取。NortonInternetSecurity2001分别在如下日志文件中记录攻击和告警\ProgramFiles\NortonInternetSecurity\iamfw.rel\ProgramFiles\NortonInternetSecurity\iamalert.rel如果所在文件系统是NTFS,这两个日志文件的缺省权限是Everyone:FullControlNIS2001打开日志文件时指定了FILE_SHARE_REA
|参考资料

来源:XF
名称:iis-modify-log(7919)
链接:http://xforce.iss.net/xforce/xfdb/7919
来源:BID
名称:3888
链接:http://www.securityfocus.com/bid/3888
来源:NSFOCUS
名称:2160
链接:http://www.nsfocus.net/vulndb/2160