有关Microsoft IIS 缓冲区错误漏洞情况的通报
发布日期: 2017-03-28

近日,互联网上披露了关于Microsoft IIS 缓冲区错误漏洞(CNNVD-201703-1074)情况,相关公告称该漏洞至少于2016年8月起被利用。由于Microsoft已停止对Windows Server 2003的服务更新,仍在使用相关产品并开启了WebDAV服务的用户将受到严重影响,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
        一、漏洞简介
        Microsoft Windows Server 2003 R2是美国微软(Microsoft)公司发布的一套服务器操作系统。Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。
        Microsoft Windows Server 2003 R2中的IIS 6.0版本中的WebDAV服务的‘ScStoragePathFromUrl’函数存在缓冲区溢出漏洞(CNNVD-201703-1074,CVE-2017-7269)。该漏洞由于‘ScStoragePathFromUrl’函数被调用两次。远程攻击者可通过发送特制的PROPFIND请求利用该漏洞执行任意代码。 
        二、漏洞危害
        若服务器开启了WebDAV服务,远程攻击者可通过构造恶意的PROPFIND请求来利用该漏洞,导致攻击者可在服务器上执行任意命令,进一步控制服务器。
        三、修复措施
        目前,微软官方已停止对Windows Server 2003的扩展支持,暂无修复补丁,且漏洞利用代码已在互联网上公布,请受影响的用户尽快采取临时缓解措施或尽快迁移系统,以规避漏洞可能产生的风险。
        【临时缓解】
        关闭WebDAV服务
        使用相关防护软件或防护设备

本通报由CNNVD技术支撑单位——北京白帽汇科技有限公司提供支持。
        CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
        联系方式: cnnvd@itsec.gov.cn