Microsoft IIS WebDAV ScStoragePathFromUrl函数缓冲区溢出漏洞(CVE-2017-7269)

时间:2022-07-27 03:59:55
漏洞名称
Microsoft IIS WebDAV ScStoragePathFromUrl函数缓冲区溢出漏洞(CVE-2017-7269)
漏洞描述
Windows Server是微软发布的一系列服务器操作系统。Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。
Microsoft Windows Server 2003 R2中的IIS 6.0版本中的WebDAV服务的‘ScStoragePathFromUrl’函数存在缓冲区溢出漏洞。远程攻击者可通过发送特制的PROPFIND请求利用该漏洞执行任意代码。
<*来源:Zhiniang Peng & Chen Wu
     链接:https://github.com/edwardz246003/IIS_exploit
  *>
解决方法
临时解决方案:
2015年7月15日,微软已停止对Windows Server 2003的支持,所以官方没有相关解决方案,建议用户升级到最新系统 Windows Server 2016
暂时无法升级的客户可采用以下方法防护此漏洞
1. 关闭IIS下的WebDAV服务
2. 若直接关闭WebDAV会对您的业务造成影响,可针对WebDAV开放的方法进行灵活配置,如禁用PROPFIND方法:
 1) 安装微软发布的IIS安全加固工具UrlScan,UrlScan的默认安装就会屏蔽WebDAV的功能;
   下载地址:https://technet.microsoft.com/en-us/security/cc242650.aspx
 2) 配置urlscan.ini文件,对请求方法进行过滤
标签:

相关文章