关于微软FTP漏洞造成拒绝服务安全公告

来源：黑基网

微软安全公告(975191)漏洞存在于FTP的IIS中一般信息执行摘要微软正在调查在Microsoft Internet信息服务（IIS）5.0，Microsoft Internet信息服务（IIS）5.1，Microsoft Internet信息服务（IIS）6.0和Microsoft Internet信息服务（IIS）7.0 FTP服务漏洞的新公众报告。这些漏洞可能允许远程代码运行在IIS 5.0上，或在运行IIS 5.0，IIS 5.1，IIS 6.0或IIS 7.0的FTP服务系统中允许拒绝服务（DoS）攻击。

微软已经知道的详细攻击代码在互联网上公布了这些漏洞。微软目前知道使用此漏洞的代码的有限的攻击。微软正在积极地监视让客户了解这一情况情况并提供客户必要的指导。

微软正积极与微软活动公告栏计划（MAPP）的伙伴提供信息，他们可以使提供更广泛的保护给客户。

当这项调查完成后，微软将根据客户需求而定采取适当行动，以帮助保护客户。可能包括通过每月发布一个安全更新提供额外的安全更新。

微软这些漏洞不负责任的披露可能会危害电脑用户，我们继续鼓励有负责任的漏洞揭露。微软表示：我们相信，直接向供应商报告漏洞的做法符合各方普遍接受的最佳利益，这种做法有助于确保客户不暴露给全面恶意攻击者前得到高品质的安全漏洞更新，而更新正在开发中。

黑基网编补充：对于微软漏洞详细IIS的DoS攻击代码已经在9月4日的milw0rm网站公布，该漏洞利用一个IIS的FTP通配符功能，如果开启FTP功能的服务器如果他有读取目录权限的匿名账户该漏洞就有可能被利用来进行拒绝服务攻击，如果普通用户拥有读取目录权限也可以利用此漏洞。

例如当匿名用户拥有读取访问权限文件夹“pub”时演示如下

   C:\Users\Nikolaos>ftp 192.168.2.102
   Verbindung mit 192.168.2.102 wurde hergestellt.
　　220 Microsoft FTP ServiceBenutzer (192.168.2.102:(none)): ftp331 Anonymous access allowed, send identity (e-mail name) as password.
　　Kennwort:
　　230 Anonymous user logged in.
　　ftp> ls "-R p*/../"...
　　p*/../pub:
　　pub...
　　p*/../pub:
　　pub...
　　p*/../pub:
　　pub...
　　p*/../pub:
　　pub...

　　Verbindung beendet durch Remotehost. (MEANS: Remote Host has closedthe connection)ftp>

通过OllyDbg调试会话过程我们看到了引发的异常，FTP服务由于堆栈溢出崩溃，如果FTP服务设置服务为“手动”启动控制管理服务需要手动重新启动，对IIS 5.0和6.0进行了测试，并且也会受到影响。

[1]