通过

安全公告

Microsoft 安全公告 MS98-003 - 重要提示

Windows NT Internet Information Server 的文件访问问题 (IIS)

发布时间: 1998 年 7 月 2 日 |更新时间:2003 年 3 月 10 日

版本: 2.0

修补程序可用性信息已更新: 2003 年 3 月 7 日

上次修订: 1998 年 7 月 8 日

总结

最近,Paul Ashton 在影响 Microsoft® Windows NT® Server 的 Internet Information Server(IIS)的 NTBugtraq 邮件列表(https://www.ntbugtraq.com)上报告了一个问题。 连接到 Windows NT IIS 的 Web 客户端可以在被授予“读取访问权限”的 IIS v 根目录中读取任何 Windows NT Server NT 文件系统 (NTFS) 文件的内容。 即使文件标记为“应用程序映射”(与 Active Server Pages (ASP) 脚本一起使用,它们也可以读取这些文件。

本公告的目的是通知 Microsoft 客户此问题、Microsoft 产品的适用性以及 Microsoft 为进一步保护客户而开发的对策的可用性。

问题

NTFS 支持文件中的多个数据流。 主数据流存储主内容,具有一个名为$DATA的属性。 从浏览器通过 IIS 访问此 NTFS 流可能会显示通常由应用程序映射处理的文件的内容。

例如,将映射.asp文件,以便由服务器上的 ASP 页面脚本代理执行文件,而不是只返回文件的内容,就像使用标准.htm文件一样。 通常,不应将这些脚本映射文件的直接内容返回到用户。 但是,通过使用文件的完整数据流名称请求文件,Web 浏览器可以获取脚本文件的内容。 在某些情况下,该文件可能包含敏感信息,例如嵌入式密码或其他敏感的“业务逻辑”信息。

此问题不向用户提供访问脚本文件以更改服务器上的脚本的能力,或强制服务器运行任意代码。 唯一的用户公开是脚本文件的纯文本。

此问题是 IIS 分析文件名的方式的结果。 此修补程序涉及 IIS 支持 NTFS 备用数据流,方法是要求 Windows NT 使文件名规范化。

要出现问题:

  • 用户必须知道文件的名称
  • 文件上的 ACL 必须允许用户读取访问权限
  • 该文件必须驻留在 NTFS 分区上

受影响的软件版本

  • Microsoft Windows NT Server 的 Internet Information Server 版本 1.0、2.0、3.0 和 4.0
  • Microsoft 对等 Web 服务器版本 2.0、3.0
  • Windows NT 4.0 工作站上的 Microsoft 个人 Web Server 版本 4.0

漏洞标识符:CVE-1999-0278

Microsoft 正在执行的操作

Microsoft 产品安全响应团队已针对 Microsoft Internet Information Server 版本 3.0 和 4.0 生成了热修补程序。 此外,下面还包括一些管理解决方法。

客户应执行的操作

Microsoft 强烈建议使用 IIS 版本 3.0 和 4.0 的客户应用热修补程序。

运行早期版本的 Windows NT Server IIS 的客户应升级到较新版本(3.0 或 4.0)。

Microsoft FTP 下载服务器在 https 下 提供了以下热修补程序:

  • IIS 3.0 (Intel x86) 热修复,/iis3-datafix/iis3fixi.exe
  • IIS 3.0 (Alpha) 热修复,/iis3-datafix/iis3fixa.exe
  • IIS 4.0 (Intel x86) 热修复,/iis4-datafix/iis4fixi.exe
  • IIS 4.0 (Alpha) 热修复,/iis4-datafix/iis4fixa.exe

生成此热修补程序的本地化版本时,它们将显示在 ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/(lang)/安全性下的相应语言目录中,其中(lang)是适当的语言。

管理员解决方法

无法应用热修补程序的客户可以使用以下解决方法暂时解决此问题:

通常,Web 用户不需要对脚本文件(如.asp文件)进行读取访问权限。 他们只需要执行权限。 为非管理用户删除对这些文件的读取访问权限将删除此公开。

为了进行额外的保护,可以修改 Windows NT Server IIS 4.0 中定义的应用程序地图,以考虑备用数据流的存在。 有关此解决方法的更多详细信息,请参阅 Microsoft 知识库文章188806(请参阅以下 URL 的“详细信息”部分)。

此外,以下做法有助于进一步提高 Windows NT Server IIS 服务器的安全性:

  • 定期查看有权访问 Web 服务器的用户和组: 查看用户和组及其权限,以确保只有有效用户具有适当的权限。
  • 使用审核来检测可疑活动: 对敏感文件应用审核控制,并定期查看这些日志,以检测可疑或未经授权的行为。
  • 适当设置读取和执行权限: ASP 和其他脚本文件不需要由通过 Windows NT Server 的 IIS 访问它们的用户读取,它们需要可执行。 因此,建议为普通用户从这些文件中删除读取访问权限。

详细信息

有关此问题的详细信息,请参阅以下参考。

  • Microsoft 安全公告 98-003,Internet Information Server 的文件访问问题(此公告的 Web 发布版本)、 /technet/security/bulletin/ms98-003.mspx
  • Microsoft 知识库文章188806、 文件 NTFS 备用数据流名称可能会返回源/<https:>https:
  • Microsoft 知识库文章 105763,HOWTO:使用 NTFS 备用数据流,</https:>https:

修订

  • 1998 年 7 月 2 日:创建公告
  • 1998 年 7 月 6 日:更新了 Windows NT Server IIS 4.0 和 Alpha 版本的热修补程序的可用性信息。 添加了有关解决方法的其他信息,以及更彻底的问题说明。
  • 1998 年 7 月 8 日:更新为包含有关热修补程序本地化版本的信息。 更新了有关受影响的产品的信息。
  • V2.0(2003 年 3 月 10 日):引入了版本控制和更新的修补程序可用性信息

有关 Microsoft 中安全问题的其他信息,请访问 https://www.microsoft.com/technet/security

MICROSOFT 知识 BA 中提供的信息标准版“按原样”提供,不提供任何形式的担保。 MICROSOFT 不明确或暗示所有保证,包括特定 PURPO 的适销性和适用性的保证标准版。 在任何情况下,即使 MICROSOFT 公司或其供应商有 B企业版N ADVI,也不得承担任何损害,包括直接、间接、附带、CON标准版QUENTIAL、业务利润损失或特殊损害,即使 MICROSOFT 公司或其供应商有 B企业版N ADVI标准版此类损害的可能性。 一些州不允许排除或限制 CON标准版QUENTIAL 或附带损害赔偿,因此上述限制可能不适用。

构建于 2014-04-18T13:49:36Z-07:00</https:>