English

◀◁ 뒤로 취약점ID 12016 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 IIS 버전 5.0은 ISAPI (Internet Services Application Programming Interface) 확장을 처리함에 있어 버퍼 오버플로우에 취약하다. The IPP(Internet Printing Protocol)은 HTTP 상에서 프린터 job들을 전달하고 제어하기 위한 프로토콜로 ISAPI extension으로써 IIS 5.0에 구현되어 있다. 이것은 Windows 2000의 일부로 디폴트로 설치되며 IIS 5.0을 통해서만 액세스(access) 가능하다. 이러한 ISAPI extension에는 입력 인수들을 처리하는 코드에서 버퍼를 체크하지 않는 문제로 인하여 취약점이 존재하다. 이 취약점은 다음과 같이 헤더 안의 HTTP Host 필드에 대략 420바이트 정도의 문자열을 덧붙인 .printer ISAPI 요청이 서버에 전달될 때 발생한다. GET /NULL.printer HTTP/1.1 Host: AAAAAAAAA....[A*420]....AAAAAAAAAAAAA 이 취약점을 이용하여 공격자들은 IIS 웹 서버 상에서 버퍼 오버플로우(Buffer Overflow)를 발생시키며 서버상의 임의의 코드를 실행할 수 있다. 일반적인 웹 서버의 경우, 일단 버퍼 오버플로우(Buffer Overflow) 공격이 성공하면 어떠한 응답도 반환하지 않게 되는데, Windows 2000의 경우는 웹 서버가 크래쉬(crash)되었다는 사실이 확인되면 웹 서버 자체적으로 자동 재부팅된다. * 참고 사이트: http://www.securityfocus.com/bid/2674 http://www.iss.net/security_center/static/6485.php * Platforms Affected: Microsoft IIS 5.0 Windows 2000 모든 버전 해결책 사용하지 않는다면 인터넷 서비스 관리자에서 인터넷 프린팅 ISAPI (.printer) 확장을 Unmap 하여야 한다. 인터넷 프린팅 ISAPI (.printer) 확장을 Unmap하기 위해서는: 1. '인터넷 서비스 관리자'를 오픈한다. 2. 해당 웹서버에 오른쪽 마우스 버튼을 클릭한다. 펼쳐진 메뉴에서 '등록정보'를 선택한다. 3. '마스터 속성'의 'WWW 서비스'가 선택된 상태에서 '편집'을 클릭하고 '홈 디렉터리' 탭에서 '구성'을 클릭한다. 리스트로 부터 .printer로의 참조를 제거한다. -- 혹은 -- 다음 마이크로소프트 보안 게시판 MS01-023을 참조하여 시스템에 적절한 패치를 구하여 설치하여야 한다: http://www.microsoft.com/technet/security/bulletin/ms01-023.asp 관련 URL CVE-2001-0241 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)