http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-079

多个厂商的应用软件包括(IIS4.0和NortonInternetSecurity2001)的日志文件属性设置不安全，允许拥有本地权限的非特权用户修改日志文件。缺省情况下，微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中，该日志文件位于%WinDir%System32LogFilesW3SVC1目录下，每天都会创建一个日志文件。WEBServer运行时，用户无法删除当天的日志文件，因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。对于运行II4的WindowsNT4SP6a，这个日志文件的缺省权限是Administrators:FullControlEveryone:Change(RWXD)IUSR_ComputerName:FullControlSystem:FullControl即Everyonegroup的成员可以读、写、执行、删除该文件，而IIS内置帐号对这个日志文件拥有完全控制权限。然而，与服务控制管理数据库相关联的DACL禁止Everyonegroup成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是，由于inetinfo.exe打开日志文件时指定了FILE_SHARE_READ和FILE_SHARE_WRITE参数。其它应用程序可以使用OpenFileWin32API，指定(OF_REOPEN|OF_READWRITE)参数，再次打开当天的日志文件。此时，不必停止W3SVC服务，就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时，就可利用这点清除日志。比如，针对IIS4做完UNICODE攻击后，不必提升到SYSTEM权限停止W3SVC服务，就可以擦除日志。注意，这需要IUSR_ComputerName(内置帐号)权限，而这可通过UNICODE漏洞获取。NortonInternetSecurity2001分别在如下日志文件中记录攻击和告警ProgramFilesNortonInternetSecurityiamfw.relProgramFilesNortonInternetSecurityiamalert.rel如果所在文件系统是NTFS，这两个日志文件的缺省权限是Everyone:FullControlNIS2001打开日志文件时指定了FILE_SHARE_REA

来源:XF
名称:iis-modify-log(7919)
链接:http://xforce.iss.net/xforce/xfdb/7919
来源:BID
名称:3888
链接:http://www.securityfocus.com/bid/3888
来源：NSFOCUS
名称：2160
链接：http://www.nsfocus.net/vulndb/2160