關于Microsoft Windows Server 2003 IIS緩沖區溢出漏洞的安全公告

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了Microsoft Windows Server 2003 R2 IIS緩沖區溢出漏洞（CNVD-2017-03467，對(duì)應CVE-2017-7269）。遠程攻擊者可通過(guò)發(fā)送特制的PROPFIND請求執行任意代碼。
一、漏洞情況分析
MicrosoftWindows Server 2003 是美國(guó)微軟（Microsoft）公司發(fā)布的一套服務器操作系統。Internet Information Services（IIS）是一套運行于Microsoft Windows中的互聯網基本服務。WebDAV （Web-based Distributed Authoring and Versioning）是一種(zhǒng)基于HTTP 1.1協議的通信協議，它擴展了HTTP 1.1。
在MicrosoftWindows Server 2003 IIS 中開(kāi)啓了的WebDAV服務的‘ScStoragePathFromUrl’函數存在緩沖區溢出漏洞。遠程攻擊者可通過(guò)發(fā)送一個以”If: <http://”開(kāi)始的較長(cháng)header頭的PROPFIND請求執行任意代碼。
CNVD對(duì)該漏洞的綜合評級爲“高危”。

二、漏洞影響範圍
目前已确認Microsoft Windows Server 2003 R2 中開(kāi)啓WebDAV服務的IIS 6.0存在此漏洞，其他版本還(hái)未驗證。
三、漏洞修複建議
目前微軟官方暫未發(fā)布修複措施解決此安全問題，建議使用Windows Server2003 R2 IIS6.0的用戶随時關注廠商主頁或參考網址以獲取解決辦法： https://www.microsoft.com/en-us/

臨時解決辦法：
1.暫時關閉WebDAV服務器，
2.使用相關防護設備過(guò)濾PROPFIND特殊請求。