涉及程序:
MS IIS server/FrontPage Ext Server
描述
微軟開發的兩個動態庫存在後門允許用戶查看ASP文件源程序和下載整個網站
詳細
隨IIS和FrontPage Extention server而來的動態庫程序,存在後門,允許用戶遠程讀取
ASP、asa和CGI程序的源代碼。但這個動態庫要求有密碼,這個後門的密碼是: "Netsc
ape engineers are weenIEs!"
程序路徑為: /_vti_bin/_vti_aut/dvwssr.dll
一般安裝了 FrontPage98的 IIS服務器都有這個路徑和文件。
這個程序要求解碼後才能發揮讀取ASP等源程序的功能,有趣的是,這個密碼正是嘲弄其
競爭對手Netscape的。
我們提供一個有該漏洞的國外網站給安全技術人員參考:
http://62.236.90.195
其網站上有一個ASP程序 : http://62.236.90.195/cqsdoc/showcode.asp
關於讀取源程序,請下載這個測試程序,用法為:
[john@Linux john]$ ./dvwssr1.pl 62.236.90.195 /cqsdoc/showcode.ASP
國內有很多網站都有這個漏洞,請管理員盡快更正!
另外, dvwssr.dll還存在緩沖溢出,容易被DOS攻擊,對於這個緩沖溢出的漏洞,可能能
利用遠程執行指令,但目前沒有可用的exploit出來。
有一個DOS的腳本:
#!/usr/bin/perl
PRint "GET /_vti_bin/_vti_aut/dvwssr.dll?";
print "a" x 5000;
print " HTTP/1.1\nHost: yourhost\n\n";
另注:對該漏洞的說法,發現者、bugtraq和微軟都有不同的版本
微軟不認為這是後門,但有咬文嚼字之嫌。
參見:
http://www.microsoft.com/technet/security/bulletin/fq00-025.asp
這個漏洞的實質是一個字符串,就是我們前面提到的 "Netscape engineers are weeni
es!"
只要知道這個字符串,和了解相關的算法,就可以獲得ASP等程序的源碼。
我們已經做了大量測試,證實的確有效。
解決方案
刪除 dvwssr.dll
安裝 Office 2000 Server Exten
