ГлавнаяБаза уязвимостей БДУ → BDU:2015-10405
9.3высокая

BDU:2015-10405 (CVE-2009-3023)

Уязвимость программного пакета Internet Informatiom Services, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2015-10-21
Описание

Программный пакет Internet Informatiom Services содержит уязвимость в модуле ftpsvc2.dll, расположенном в каталоге C:\Windows\system32\inetsrv, которая позволяет нарушителю вызвать переполнение стекового буфера в функции, которая преобразовывает путь к каталогу (отдельно обрабатывая вхождения метасимволов) в конечный вид. Эта функция вызывается из функции-обработчика команды NLIST, выдающей содержимое каталога, путь к которому ей передан. Используя имя родительского каталога (обозначается как «..») и метасимвол «*», можно добиться удвоения результирующего пути к каталогу и переполнения стекового буфера ограниченного размера (260 байт), что может привести к отказу в обслуживании либо выполнению произвольного кода

Затрагиваемое ПО и версии
Microsoft Internet Information Services (5.0)Microsoft Internet Information Services (6.0)XP-8741-Atom (XP-8741)
Способ устранения

Установка обновления Microsoft Windows KB975254, доступного по адресу:
http://support.microsoft.com/kb/975254/ru

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3023
Проверьте безопасность своего сайта и почты → Полная проверка домена