English

◀◁ 뒤로 취약점ID 12015 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 IIS 웹 서버는 Front Page ISAPI 필터와 관련된 서비스 거부 공격에 취약하다. Front Page는 동적 컴포넌트들인 shtml.exe/dll를 처리하기 위한 URL 파서(parser)들을 포함하고 있다. 그런데, 원격지의 공격자들이 동적 컴포넌트들을 위한 정상적인 요청 URL, /_vti_bin/shtml.exe, 을 대신하여 과도하게 긴 URL을 서버에 전달하게 되면, ISAPI 필터의 서브 모듈들은 대상 URL을 필터링한 후 Null 값을 웹 서버의 URL 파서(parser)에게 반환하게 된다. 이것은 서버에 Access Violation을 일으킬 수 있으며 IIS 서버의 한 패키지로 프로세스 정보를 처리하는 inetinfo.exe을 종료시킨다. IIS 4.0 서버의 경우는 이러한 서비스 거부 공격에 영향을 받으면, 서버의 정상적인 동작을 위해서 사용자가 수동으로(manually) 재부팅을 해야 하지만 IIS 5.0 과 5.1 서버의 경우는 서버 자체적으로 재부팅이 된다. 하지만, 서버가 iisreset을 통해 자체적으로 서비스를 재부팅한다 할지라도 이것은 잠깐 동안만 유효할 뿐 관리자가 수동으로(manually) 서비스나 서버 시스템을 재부팅하기 전까지는 서비스는 크래쉬(crash)된 채 남아있게 된다. 이 취약점은 Cisco 제품 자체의 버그는 아니지만 IIS 서버가 구동되는 많은 Cisco 제품에도 영향을 끼친다. * 참고 사이트: http://online.securityfocus.com/bid/4479 http://www.microsoft.com/technet/security/bulletin/MS02-018.asp * 영향을 받는 플랫폼들 : Microsoft IIS 4.0 Microsoft IIS 5.0 Microsoft IIS 5.1 Cisco Buildig Broadband Service Manager Cisco Call Manager Cisco Unity Server 해결책 본 취약점과 또 다른 취약점들에 대한 해결책을 제공하는 Cumulative 패치를 설치해야 한다. * For Microsoft IIS 4.0 : 패치 Q319733 IIS 4.0 http://download.microsoft.com/download/iis40/Patch/Q319733/NT4/EN-US/Q319733i.exe 서비스 팩 Q317636 http://support.microsoft.com/kb/317636 * For Microsoft IIS 5.0 : 패치 Q319733 IIS 5.0 http://download.microsoft.com/download/iis50/Patch/Q319733/NT5/EN-US/Q319733_W2K_SP3_X86_EN.exe * For Microsoft IIS 5.1 : 패치 Q319733 IIS 5.1 http://download.microsoft.com/download/iis50/Patch/Q319733/WXP/EN-US/Q319733_WXP_SP1_x86_ENU.exe * For Cisco products : Cisco 제품을 위해 MS에서 제공하는 cumulative 패치는 다음 사이트를 참고한다. http://online.securityfocus.com/bid/4479/solution/ for Microsoft's cumulative patch. -- 또는 -- shtml/shtm ISAPI 필터의 매핑을 제거해야 한다. (windows 2000 기준) 1. 제어판 → 관리도구 → 인터넷 서비스 관리를 연다. 2. 웹 서버의 "등록정보"를 선택한다. 3. 홈 디렉토리 탭을 선택한 후 응용 프로그램 설정에서 구성을 클릭한다. 4. 응용 프로그램 매핑 탭에서 .shtml/shtm 와 sht 를 선택한 후 제거버튼을 클릭한다. 5. 확인 후 종료한다. 관련 URL CVE-2002-0072 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)