Microsoft IIS 缓冲区错误漏洞

一、漏洞简介

        Microsoft Windows Server 2003 R2是美国微软（Microsoft）公司发布的一套服务器操作系统。Internet Information Services（IIS）是一套运行于Microsoft Windows中的互联网基本服务。

        Microsoft Windows Server 2003 R2中的IIS 6.0版本中的WebDAV服务的'ScStoragePathFromUrl'函数存在缓冲区溢出漏洞（CNNVD-201703-1074，CVE-2017-7269）。该漏洞由于'ScStoragePathFromUrl'函数被调用两次。远程攻击者可通过发送特制的PROPFIND请求利用该漏洞执行任意代码。  

        二、漏洞危害

        若服务器开启了WebDAV服务，远程攻击者可通过构造恶意的PROPFIND请求来利用该漏洞，导致攻击者可在服务器上执行任意命令，进一步控制服务器。

        三、修复措施

        目前，微软官方已停止对Windows Server 2003的扩展支持，暂无修复补丁，且漏洞利用代码已在互联网上公布，请受影响的用户尽快采取临时缓解措施或尽快迁移系统，以规避漏洞可能产生的风险。

        【临时解决措施】

        关闭WebDAV服务

        使用相关防护软件或防护设备