Microsoft IIS WebDav Lock命令的内存泄漏导致拒绝服务攻击漏洞

Microsoft IIS WebDav Lock命令的内存泄漏导致拒绝服务攻击漏洞

漏洞ID 1205772 漏洞类型 未知
发布时间 2001-06-27 更新时间 2001-06-27
图片[1]-Microsoft IIS WebDav Lock命令的内存泄漏导致拒绝服务攻击漏洞-安全小百科CVE编号 CVE-2001-0337
图片[2]-Microsoft IIS WebDav Lock命令的内存泄漏导致拒绝服务攻击漏洞-安全小百科CNNVD-ID CNNVD-200106-130
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/89023
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200106-130
|漏洞详情
IIS5.0是微软的一个产品,随Windows2000捆绑发售。IIS默认支持Webdev。IIS5.0中的WebDAV扩展中Lock方法的实现存在一个内存泄漏的缺陷,使得恶意用户可以耗尽服务器的所有可用内存。如果连续请求一个不存在的文件,则会引发Lock方法中的内存泄漏。例如:LOCK/aaaaaaaaaaaaaaaaaaaaaaaaaa.htwHTTP/1.0服务器最终将耗尽内存,运行缓慢以至崩溃、重启并恢复正常。但是可以通过一些方法来确定服务器内存何时即将被耗尽,从而在内存耗尽之前停止攻击,这样服务器就不会释放掉占用的内存。其中一种方法就是与ASP的执行结合起来。例如:GET/iisstart.asp?uc=aHTTP/1.0这要求服务器上存在iisstart.asp文件。当服务器即将耗尽内存时这个请求将返回执行错误信息,从而可以得知服务器何时即将耗尽内存。
|参考资料

来源:MS
名称:MS01-026
链接:http://www.microsoft.com/technet/security/bulletin/MS01-026.asp

相关推荐: Microsoft Site Server 3.0 Default Account Vulnerability

Microsoft Site Server 3.0 Default Account Vulnerability 漏洞ID 1104448 漏洞类型 Design Error 发布时间 1999-12-21 更新时间 1999-12-21 CVE编号 N/A C…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享