shtml.dll暴露web目录本地路径(安全动态)

公司介绍

员工心声

招聘信息

服务范围

shtml.dll暴露web目录本地路径 (MS,缺陷)

涉及程序：

Frontpage Extention Server/Windows2000 Server

描述：

CNNS安全公告2000-08/shtml.dll暴露IIS web本地路径 On Windows2000 Server

详细：

CNNS发现一个与shtml.dll有关的安全问题，允许任何人查看IIS web server本地路径。在Windows2000 server上测试通过。
shtml.dll是随.Forntpage Extention server 发行的一个应用程序，设计用来浏览smart HTML文件。如果在windows2000上安装Frontpage，将在web根目录下创建一个 "_vti_bin" 的虚拟目录，shtml.dll是位于该目录下的文件之一。通常我们可以通过如下方式查看html或者shtml等文件:
http://210.145.32.98/_vti_bin/shtml.dll/postinfo.html (这是一个示范站点)
shtml.dll只接受HTML、SHTML和HTM的处理。如果有这些后缀的文件不存在，将会返回一个错误信息，其中包含web目录的本地路径信息：

http://207.69.190.42/_vti_bin/shtml.dll/postinfo1.html
这样将返回以下信息：
Cannot open "d:\inetpub\wwwroot\postinfo1.html": no such file or folder.
但是如果我们请求并非HTML、SHTML或者ASP后缀的文件，我们将会得到不同的信息：
http://207.69.190.42/_vti_bin/shtml.dll/postinfo1.exe

Cannot run the FrontPage Server Extensions' Smart HTML interpreter on this non-HTML page: "postinfo1.exe"
经本站授权。全世界最大的网络安全数据库公布了该发现: http://www.securityfocus.com/vdb/bottom.html?vid=1174
注意到shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这一点，可以对IIS服务器执行DOS攻击，我们编写了一个命令行形式的小程序，能使目标服务器的CPU占用率达到 100%，并且耗用所有的应用程序日志空间。系统在数分钟内会报告应用程序日志已满：
dos.zip 包含源程序

解决方案：

将IIS web server下的 /_vti_bin 目录设置成禁止远程访问
下面是微软公司对该问题的反应：

Wanted to get back in touch and let you know what we've
found. As you reported, the error message does provide
information about the location of the files on the server.
However, by itself this isn't a security vulnerability --
that is, it wouldn't allow someone to compromise data on
the server, prevent legitimate users from being serviced,
or usurp administrative control over the machine. However,
it could be useful as a reconnaissance tool, and we will
definitely fix it. We're going to be delivering a service
release via the web (OSR 1.2) very soon, and we have
already made the needed changes.

Thanks again for reporting this issue to us, and we look
forward to working with you again in the future. Best
regards,

Secure@microsoft.com

发布时间：2000年5月7日