CVE参考：   CVE-2009-4444，CVE-2009-4445   （链接到外部站点）

更新日期：   2009年12月29日

原始日期：   2009年12月24日

影响：   通过本地系统中执行任意代码，经由网络执行任意代码

供应商确认：   是   利用包括：   是的  

版本： 6

说明：    Soroush Dalili在Microsoft Internet Information Services（IIS）中报告了一个漏洞。在某些情况下，用户可能能够绕过安全控制，并导致Web服务器执行具有不可执行文件名的文件。

根据文件扩展名确定MIME类型时，IIS服务会错误地解析包含分号字符的文件名。本地用户可以使用特制但不可执行的文件名创建可执行文件（例如，ASP文件），当通过Web服务器调用时，该文件将导致文件的内容以目标Web服务的权限执行。

如果系统上的Web应用程序允许远程用户使用用户控制的文件名上载文件，则远程用户可能能够绕过Web应用程序的文件扩展名安全过滤器并上传具有不可执行扩展名的可执行文件。提供了一个演示漏洞利用文件名：malicious.asp; .jpg 该报告表明许多Web应用程序受到影响。

供应商指示只有IIS版本6受到影响。

[编者注：供应商声明，这不是产品漏洞，而是由于IIS 6在URL中处理分号的不一致而导致配置问题。允许同一目录上的“写入”和“执行”权限的非默认配置将受到影响。但是，这些配置与最佳实践相反。]

影响： 用户可能能够使Web服务器执行带有不可执行文件名的文件。影响可能取决于访问Web服务器和/或在Web服务器上运行的应用程序的用户。

解决方案：    2009年12月29日，Microsoft发布了一篇博客文章，指出IIS Web服务器客户配置只能在非默认，不安全的配置中受到影响。必须对远程用户进行身份验证，并对具有执行权限的目录具有写入权限。默认配置不受影响。供应商表明该问题是配置缺陷，而不是产品漏洞。

原因：   输入验证错误

底层操作系统：  Windows（2003）

################################################## ##########

Microsoft IIS 0Day解析文件中的漏洞（分号错误）

################################################## ##########

#Application：Microsoft Internet Information Services  -  IIS（所有版本）

#Impact：Web应用程序非常关键

＃查找日期：2007年4月

＃报告日期：2009年12月

＃发现者：Soroush Dalili（Irsdl {4t] yahoo [d0t} com）

#Website：Soroush.SecProject.com

#Weblog：Soroush.SecProject.com/blog/

＃谢谢：阿里·阿巴斯·内贾德先生，马莫罗斯，阿里亚安全小组和其他道德黑客。

＃漏洞/风险描述：

-  IIS可以执行任何扩展作为活动服务器页面或任何其他可执行扩展。例如，“malicious.asp; .jpg”作为服务器上的ASP文件执行。许多文件上传者通过仅检查文件名的最后一部分作为其扩展名来保护系统。并且通过使用此漏洞，攻击者可以绕过此保护，并在服务器上上传危险的可执行文件。

#Impact说明：

- 此漏洞的影响是绝对高的，因为攻击者可以通过在可执行扩展名（例如“.asp”，“.cer”，“.asa”等后使用分号来绕过文件扩展名保护。

- 由于IIS的这个弱点，许多Web应用程序容易受到文件上传攻击。在2008年夏季在一些着名的Web应用程序上进行的测量中，70％的安全文件上传者被使用此漏洞绕过。

＃寻找方法：

- 简单的fuzzer通过使用ASP语言本身。

＃更多细节：

- 如果有“malicious.asp; .jpg”，Web应用程序将其视为JPEG文件，IIS将其视为ASP文件，并将其传递给“asp.dll”。该错误与ASP.Net不兼容，因为.Net技术无法将“malicious.aspx; .jpg”识别为.Net文件，并显示“找不到页面”错误。

- 除了使用分号之外，“：”可以用任何扩展名制作一个空文件。例如，通过上传“test.asp：.jpg”，将在NTFS分区上的服务器上创建一个空的ASP文件“test.asp”。这只是因为“NTFS备用数据流”，并且与分号漏洞完全不同。

#Fast解决方案/建议：

- 对于Web开发人员：

   - 强烈建议：使用完全随机的字符串作为文件名，并通过Web应用程序本身设置其扩展名（例如，通过使用“switch-case或select-case”），并且不接受该用户的输入作为文件名。

   - 仅接受字母数字字符串作为文件名及其扩展名。

- 网站管理员：

   - 从上传目录（文件夹）中删除“执行”权限。

＃概念/利用：

- 使用此漏洞可以利用许多Web应用程序。由于安全性原因，我们无法在IIS的Microsoft安全修补程序之前宣布他们的名字。