| FrontPage Server Extensions发现严重漏洞! |
 |
|
|
2002-09-27 13:59
|
| |
【日经BP社报道】日本微软9月26日公开了与Internet Information Server/Services(IIS)捆绑销售的“FrontPage Server Extensions(FPSE)2000/2002”的安全漏洞,严重程度为“高”,如果被恶意利用,就可以在IIS服务器上运行任意程序。对策是使用补丁或将FPSE设为无效等。由于FPSE在默认状态下为有效,因此建议IIS管理员要进行再确认。
FPSE是远程管理Web站点以及开发Web应用的工具,与IIS4.0/5.0/5.1捆绑销售。此次发现的安全漏洞存在于FPSE组件之一的“SmartHTML Interpreter(shtml.dll)”中。SmartHTML Interpreter的作用是:通过Web页使用表单(Form)及基于FrontPage的动态内容。
如果存在安全漏洞的FPSE(SmartHTML Interpreter)向正在运行的IIS服务器发送某种特定的请求,对于FPSE2000而言,SmartHTML Interpreter会耗尽所有的CPU资源,使服务器无法正常提供服务;对于FPSE2002而言,SmartHTML Interpreter会引发缓冲区溢出,可能会在IIS服务器上随机的启动某些程序。
对策是使用补丁。不过,尽管Windows2000及Windows XP的日语版补丁已公开,但Windows NT的日语版补丁目前(2002年9月26日中午)尚未公开。
另外,将FPSE删除也可以避免安全漏洞的影响。由于过去也在FPSE及FPSE组件上发现过类似的安全漏洞,因此建议在不使用的情况下将其删除。不只是FPSE,将不必要的服务全部设置为无效已是服务器运用方面的常规。希望管理员再次加以确认。
另外,如果通过日本微软提供的“IIS Lockdown工具”使动态网页无效,SmartHTML Interpreter也会随之无效,因而也可以避免受到安全漏洞的影响。
|
| |
|
|
|
