多个厂商产品允许非特权用户修改日志文件漏洞 CVE-2002-1694 CNNVD-200212-079

5.0 AV AC AU C I A
发布: 2002-12-31
修订: 2018-10-30

多个厂商的应用软件包括(IIS 4.0和Norton Internet Security 2001)的日志文件属性设置不安全,允许拥有本地权限的非特权用户修改日志文件。 缺省情况下,微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中,该日志文件位于 \\%WinDir\\%\System32\LogFiles\W3SVC1目录下,每天都会创建一个日志文件。 WEB Server运行时,用户无法删除当天的日志文件,因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。 对于运行II4的Windows NT4 SP6a,这个日志文件的缺省权限是 Administrators : Full Control Everyone : Change (RWXD) IUSR_ComputerName : Full Control System : Full Control 即Everyone group的成员可以读、写、执行、删除该文件,而IIS内置帐号对这个日志文件拥有完全控制权限。然而,与服务控制管理数据库相关联的DACL禁止Everyone group成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是,由于inetinfo.exe打开日志文件时指定了 FILE_SHARE_READ 和 FILE_SHARE_WRITE 参数。其它应用程序可以使用 OpenFile Win32 API ,指定 (OF_REOPEN|OF_READWRITE) 参数,再次打开当天的日志文件。此时,不必停止W3SVC服务,就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时,就可利用这点清除日志。 比如,针对IIS4做完UNICODE攻击后,不必提升到SYSTEM权限停止W3SVC服务,就可以 擦除日志。注意,这需要IUSR_ComputerName(内置帐号)权限,而这可通过UNICODE漏 洞获取。 Norton Internet Security 2001 分别在如下日志文件中记录攻击和告警 \Program Files\Norton Internet Security\iamfw.rel \Program Files\Norton Internet Security\iamalert.rel...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有3条受影响产品信息