BUGTRAQ ID: 27676
CVE(CAN) ID: CVE-2008-0075
Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。
IIS处理ASP网页输入的方式存在远程代码执行漏洞,允许攻击者向网站的ASP页面传送恶意输入。成功利用这个漏洞的攻击者可以在IIS服务器上以WPI的权限(默认配置为网络服务帐号权限)执行任意操作。
Microsoft IIS 6.0
Microsoft IIS 5.1
临时解决方法:
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS08-006)以及相应补丁:
MS08-006:Vulnerability in Internet Information Services Could Allow Remote Code Execution (942830)
链接:<a href=“http://www.microsoft.com/technet/security/Bulletin/MS08-006.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/MS08-006.mspx?pf=true</a>