Microsoft IIS 4.0/5.0畸形.HTR请求拒绝服务攻击漏洞(MS00-031)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1206513 漏洞类型 边界条件错误
发布时间 2000-05-10 更新时间 2005-10-12
CVE编号 CVE-2000-0304 CNNVD-ID CNNVD-200005-036
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200005-036
|漏洞详情
IIS是一款WindowsNT/2000系统自带的的Web服务器软件,由Microsoft公司开发维护。IIS支持对一些特定文件名后缀(如.ASP、.IDC、.HTR)的文件请求执行进一步的处理,当服务器接到此类文件的请求时,每种后缀的文件由一个特定的DLL文件处理。ISM.DLL用于处理.HTR、.STM、.IDC为后缀的文件请求。IIS在处理畸形的.htr请求时会导致服务器CPU占用率100%,必须重新启动才能恢复功能。包含在虚拟目录中的.htr程序允许用户远程更改口令。如果用户提交一个畸形的更改口令请求就会使服务器的CPU占用率达到100%,必须重新启动才能恢复。目前具体的漏洞细节尚未披露。
|参考资料

来源:ISS
名称:20000511MicrosoftIISRemoteDenialofServiceAttack
链接:http://xforce.iss.net/alerts/advise52.php3
来源:BID
名称:1191
链接:http://www.securityfocus.com/bid/1191
来源:MS
名称:MS00-031
链接:http://www.microsoft.com/technet/security/bulletin/ms00-031.mspx
来源:NSFOCUS
名称:3450
链接:http://www.nsfocus.net/vulndb/3450