English

◀◁ 뒤로 취약점ID 22083 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 IIS 웹서버에 ISAPI 필터를 통한 버퍼 오버플로우 취약점이 존재한다. 이 취약점은 웹서버로의 SYSTEM 레벨 액세스를 허용해 줄 수 있다. .IDA "Code Red" 웜은 이 취약점을 이용하고 있으며 .IDA 버퍼 오버플로우 공격을 통해 인터넷 상의 IIS 웹서버들로 급속히 확산되고 있다. 이 취약점은 웹서버가 마이크로소프트 인덱싱 서비스 기능을 지원하기 위한 코드내에 존재한다. 취약한 인덱싱 서비스 ISAPI 필터는 모든 버전의 Microsoft Internet Information Services (IIS) 웹서버에 디폴트로 설치된다. 이 문제점은 .ida (Indexing Service) ISAPI 필터가 사용자 입력값에 대해 적절한 "길이 체킹"을 하지 않는다는 사실에 있다. Attacker는 이 취약점을 이용하여 Windows NT 4.0, Windows 2000, 혹은 Windows XP 상에 Microsoft IIS 웹서버 소프트웨어를 디폴트로 설치하여 사용하고 있는 서버에 대한 완전한 SYSTEM 수준의 액세스를 원격지로 부터 얻어낼 수 있다. 자세한 설명은 Microsoft Advisory MS01-033에 있다. 테스트를 위해서는 다음과 같이 해 볼 수 있다: GET /a.ida?[A x 240]=x HTTP/1.1 Host: secuiscan * 참고 사이트: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 해결책 마이크로소프트 사는 이 취약점에 대한 패치를 릴리즈 했으며 다음 사이트로 부터 다운로드 가능하다: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 이 취약점을 Patch 했더라도 .IDA 확장과 사이트 운영에 필요하지 않는 사용되지 않는 다른 ISAPI 확장(extention)들을 Map에서 제외시킬 것을 권고한다. * .IDA 확장을 Map에서 제외시키기 위해서는 1. '인터넷 서비스 관리자'를 오픈한다. 2. 해당 웹서버에 오른쪽 마우스 버튼을 클릭한다. 펼쳐진 메뉴에서 '등록정보'를 선택한다. 3. '마스터 속성'의 'WWW 서비스'가 선택된 상태에서 '편집'을 클릭하고 '홈 디렉터리' 탭에서 '구성'을 클릭한다. 리스트로 부터 .ida로의 참조를 제거한다. 관련 URL CVE-2001-0500 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)