Microsoft IIS 源片段信息泄露
medium Nessus 插件 ID 10680
语言:
简介
远程 Web 服务器受到信息泄露漏洞的影响。描述
Microsoft IIS 4.0 和 5.0 可能泄露源代码片段,而这本应无法访问。只需在针对已知的“.asp”(或“.asa”、“.ini”、“etc”)文件的请求后附加“+.htr”即可。解决方案
如果不需要,应删除 .htr 脚本映射。- 打开 Internet Services Manager
- 右键单击 Web 服务器并选择属性
- 选择 WWW 服务 | 编辑 | 主目录 | 配置
- 删除指向 .htr 的应用程序映射引用
如果需要用到 .htr 功能,则安装 Microsoft 提供的相关修补程序 (MS01-004)。
另见
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2001/ms01-004
插件详情
严重性: Medium
ID: 10680
文件名: iis_frag_disclosure.nasl
版本: 1.48
类型: remote
系列: Web Servers
发布时间: 2001/5/29
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.5
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
漏洞信息
CPE: cpe:/a:microsoft:iis
必需的 KB 项: www/ASP
可利用: true
易利用性: Exploits are available
漏洞发布日期: 1999/1/14
参考资料信息
CVE: CVE-2000-0457, CVE-2000-0630