Раскрытие некоторой инфомации об ASP приложении в Microsoft Internet Information Server

Дата публикации:
07.05.2004
Всего просмотров:
1283
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Microsoft IIS 4.0-6.0

Описание: Уязвимость обнаружена в Microsoft Internet Information Server (IIS) в обработке некоторых значений куки Active Server Pages (ASP) сценариями. Удаленный пользователь может определить информацию об ASP приложении.

Удаленный пользователь может послать HTTP запрос с значением HTTP Куки равным символом ‘=’, чтобы заставить целевой ASP сценарий вызвать ошибку и отобразить страницу ошибки, которая раскроит потенциально чувствительную информацию, типа имени включаемых файлов.

Пример/Эксплоит:

GET /somepage.asp HTTP/1.0
Host: hostname
Cookie: =

URL производителя: http://www.microsoft.com/technet/security/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Microsoft Active Server Pages Cookie Retrieval Issue

или введите имя

CAPTCHA