| نشرة أمان Microsoft MS02-041 مخزن مؤقت غير محدد في خادم إدارة المحتوى |
التحميل الان |
نشرة أمان Microsoft MS02-041 الترتيب والملخص
- موقع ويب الناشر:
- http://www.microsoft.com/
- أنظمة التشغيل:
- Windows, Windows 2000
- متطلبات إضافية:
- Microsoft Content Management Server 2001 Microsoft Windows 2000 Server, Advanced Server, or DataCenter Server Microsoft SQL ServerTM 7.0 or 2000 Microsoft Internet Information Services (IIS) 5.0
نشرة أمان Microsoft MS02-041 العلامات
نشرة أمان Microsoft MS02-041 وصف
Microsoft Content Management Server (MCMS) 2001 هو منتج .NET Enterprise Server الذي يبسط تطوير وإدارة مواقع الويب التجارية الإلكترونية. علمت Microsoft بثلاث نقاط ضعف أمنية تؤثر على ذلك: تجاوز مخزن مؤقت في وظيفة منخفضة المستوى التي تنفذ مصادقة المستخدم. تمر صفحة ويب واحدة على الأقل مضمنة في MCMS 2001 المدخلات مباشرة إلى الوظيفة، مما يحتمل أن توفر طريقة لمهاجما لإتجاز المخزن المؤقت. ستكون نتيجة استغلال الضعف إما أن تفشل MCMs، أو تشغيل التعليمات البرمجية في سياق خدمة MCMS (التي تعمل كأنظمة محلية). ثغرة أمنية ناتجة عن التقاء عيوب تؤثر على وظيفة تسمح بتحميل الملفات المراد تحميلها على الخادم. يقع العيب الأول في كيفية توثيق الوظيفة الطلبات، وسوف يسمح لأي مستخدم بإرسال طلب تحميل. النتائج الثانية لأنه من الممكن تجاوز موقع التحميل؛ حيث يجب أن تقوم الوظيفة بتحميل الملفات إلى مجلد يمكن للمستخدمين المميزين فقط الوصول إليها، ويمكن تجاوزه لتحميله إلى مجلد مؤقت يسمح للمستخدمين غير المحرومين بالاتصال به. من خلال استغلال العيوبين في جنبا إلى جنب، يمكن للمهاجم تحميل ملف .asp أو ملف آخر على الخادم، في موقع يمكن تنفيذه منه. ضعف حقن SQL تؤثر على وظيفة تقدم الخدمات لملفات الصور والموارد الأخرى. استغلال الضعف يمكن أن تمكن المهاجم من تشغيل أوامر SQL على الخادم، والذي لن يسمح فقط بإضافة البيانات في قاعدة بيانات MCMS أو تغييرها أو حذفها، ولكن أيضا سيمكن المهاجم من تشغيل أوامر نظام التشغيل على الخادم.
نشرة أمان Microsoft MS02-041 برامج ذات صلة