Описание
Программный пакет Internet Informatiom Services содержит уязвимость в модуле ftpsvc2.dll, расположенном в каталоге C:\Windows\system32\inetsrv, которая позволяет нарушителю вызвать переполнение стекового буфера в функции, которая преобразовывает путь к каталогу (отдельно обрабатывая вхождения метасимволов) в конечный вид. Эта функция вызывается из функции-обработчика команды NLIST, выдающей содержимое каталога, путь к которому ей передан. Используя имя родительского каталога (обозначается как «..») и метасимвол «*», можно добиться удвоения результирующего пути к каталогу и переполнения стекового буфера ограниченного размера (260 байт), что может привести к отказу в обслуживании либо выполнению произвольного кода
Вендор
Наименование ПО
Версия ПО
Тип ПО
Операционные системы и аппаратные платформы
Уровень опасности уязвимости
Возможные меры по устранению уязвимости
Статус уязвимости
Наличие эксплойта
Информация об устранении
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
- OSVDB
EPSS
9.3 Critical
CVSS2
Связанные уязвимости
Buffer overflow in the FTP Service in Microsoft Internet Information Services (IIS) 5.0 through 6.0 allows remote authenticated users to execute arbitrary code via a crafted NLST (NAME LIST) command that uses wildcards, leading to memory corruption, aka "IIS FTP Service RCE and DoS Vulnerability."
Buffer overflow in the FTP Service in Microsoft Internet Information Services (IIS) 5.0 through 6.0 allows remote authenticated users to execute arbitrary code via a crafted NLST (NAME LIST) command that uses wildcards, leading to memory corruption, aka "IIS FTP Service RCE and DoS Vulnerability."
Уязвимость программного пакета Internet Informatiom Services, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
EPSS
9.3 Critical
CVSS2