【漏洞预警】IIS 6.0曝远程代码执行漏洞CVE-2017-7269
【漏洞预警】IIS 6.0曝远程代码执行漏洞CVE-2017-7269
FB客服
发布于 2018-02-23 18:00:08
发布于 2018-02-23 18:00:08
漏洞描述
微软方面也已经确认了该漏洞:Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,远程攻击者通过以“If: <http://”开头的长header PROPFIND请求,执行任意代码。该漏洞自2016年7、8月起就已被利用。
由于开启WebDAV服务就存在该漏洞,所以对于目前的IIS 6.0用户而言,可用的变通方案就是关闭WebDAV服务。
漏洞编号
CVE-2017-7269
其他信息
ScStoragePathFromUrl函数被调用两次
影响版本
Windows Server 2003 R2
攻击向量
修改过的PROFIND数据
漏洞发现者
Zhiniang Peng和Chen Wu(华南理工大学计算机科学与工程学院信息安全实验室)
PoC
本文参与?腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2017-03-28,如有侵权请联系?cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录