Your browser does not support JavaScript!
國立清華大學工程與系統科學系
國立清華大學工程與系統科學系
繁體
分類清單
首頁 > 最新消息-站務及電腦Q&A
[清大計中]【漏洞預警】Microsoft Windows Server 2003 IIS的WebDAV服務存在緩衝區溢位弱點,允許攻擊者遠端執行任意程式碼或造成阻斷服務

教育機構ANA通報平台

發佈編號 發佈時間
事故類型 ANA-漏洞預警 發現時間 2017-03-31 00:00:00
影響等級    
[主旨說明:]【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017-7269),允許攻擊者遠端執行任意程式碼或造成阻斷服務
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0093

WebDAV(Web-Based Distributed Authoring and Versioning)是一種可與遠端主機進行檔案或資料交換的標準,擁有權限的使用者可透過網路存取遠端目標網站的WebDAV資料夾內的檔案。

該漏洞主要是Microsoft IIS(Internet Information Services)6.0的WebDAV服務中,httpext.dll動態連結函式庫之ScStorageFromUrl函式存在緩衝區溢位漏洞,讓遠端攻擊者可透過發送特製的的PROPFIND請求封包,導致可執行任意程式碼或造成阻斷服務。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Microsoft Windows Server 2003的IIS 6.0
[建議措施:]
1. 請確認是否使用Microsoft Windows Server 2003的IIS 6.0,並啟用WebDAV服務(可至Application Server->Internet Information Services->World Wide Web Service->WebDAV Publishing檢視是否有勾選啟用,預設是未啟用該服務)。
2. 如仍須使用WebDAV服務,建議將作業系統與IIS升級至最新的版本。
3. 其餘未在上述受影響之作業系統的IIS 6.0,仍請密切注意微軟官方(https://technet.microsoft.com/en-us/security/bulletins.aspx)是否有後續消息。
[參考資料:]
1. https://nvd.nist.gov/vuln/detail/CVE-2017-7269
 
2. http://www.ithome.com.tw/news/113166
 
3. https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3cbec1c7-e3ed-43d3-86e8-ce94e4375e70.mspx?mfr=true
 
(此通報僅在於告知相關資訊,並非為資安事件)如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組 網址:https://info.cert.tanet.edu.tw/
 
專線電話:07-5250211 網路電話:98400000 E-Mail:service@cert.tanet.edu.tw

 

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼
Voice Play
更換驗證碼