과잉 디코딩 작업이 IIS를 통한 명령 실행을 허용할 수 있다

기술 자료 번역 기술 자료 번역
기술 자료: 295534 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR295534
이 문서가 보관되었습니다. "그대로" 제공되었으며, 업데이트가 되지 않을 것입니다.
모두 확대 | 모두 축소

이 페이지에서

현상

Microsoft Internet Information Services(IIS) 5.0과 Microsoft Internet Information Server(IIS) 4.0에는 나쁜 의도를 가진 사용자가 점유한 웹 서버에서 운영 체제 명령을 실행할 수 있는 보안 상의 취약점이 있습니다. 이러한 취약점을 악용하여 나쁜 의도를 가진 사용자들이 웹 페이지를 수정하거나, 파일을 추가, 변경 또는 삭제하거나, 하드 디스크를 다시 포맷하거나, 아무 코드나 서버로 업로드하여 실행하는 것과 같은 다른 작업을 수행할 수 있습니다.

최선의 방법은 공격자가 이러한 취약점을 쉽게 악용하지 못하도록 만드는 것입니다. 공격자가 이러한 취약점을 이용하는 데 성공하더라도 보안 문제는 공격자에게 서버 상의 관리 권한을 허용하지 않습니다. 대신 보안 문제는 대개의 경우 서버에 대화형으로 로그온할 수 있는 사용자용으로 예약된 권한을 허용합니다. 그럼에도 불구하고 나쁜 의도를 가진 사용자가 이러한 권한을 통해 광범위한 손상을 일으키고, 또 다른 권한을 얻을 목적으로 추가 공격을 시작할 수 있는 지점이 될 수 있습니다.

문제 방지 요소 :
  • 이 취약점으로는 공격자가 서버의 폴더 구조를 알 수 없습니다. 따라서 웹 루트와는 별도 드라이브나 비 표준 폴더에 운영 체제를 설치하면 공격자가 원하는 프로그램을 찾는 것을 막을 수 있습니다.
  • 이 취약점은 서버에 대한 관리자 권한의 액세스를 제공하지 않습니다. IIS 4.0 및 IIS 5.0의 보안 체크리스트에 나와 있는 권장 사항을 따르면 중요한 프로그램이 관리자만 액세스할 수 있는 폴더로 이동되어 관리자가 아닌 사용자가 서버 리소스에 액세스하는 것이 엄격하게 제한됩니다.

원인

이 보안 상의 취약점은 서버에 있는 프로그램을 실행하는 요청을 처리하는 기능에 오류가 있기 때문에 발생합니다. 과잉 디코딩 작업은 공격자에게 보안 검사를 피하고 서버의 가상 폴더 구조를 벗어날 수 있게 하여, 그 결과 공격자가 해당 서버에서 운영 체제 명령을 실행할 수 있습니다.

해결 방법

다음 패치에 의해 수정되는 사항에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
297860IIS 5.0 보안 및 Windows NT 4.0 SP5 이후 IIS 4.0 패치 롤업

Internet Information Services 5.0

현재 수정 프로그램을 Microsoft에서 구할 수 있지만 이 문서에서 설명하는 문제를 수정하기 위한 것일 뿐이므로 공격 위험이 있다고 판단된 시스템에만 적용해야 합니다. 컴퓨터에 실제 액세스 가능성, 네트워크와 인터넷 연결성 및 기타 요인을 평가하여 컴퓨터가 위험에 노출된 정도를 확인하십시오. 여기에 도움이 되는 관련 Microsoft Security Bulletin을 참조하십시오. 이 수정 프로그램은 제품의 품질을 향상시키기 위해 나중에 추가 테스트를 받아야 할 수도 있습니다. 컴퓨터가 충분히 위험에 노출되어 있다고 생각되면 수정 프로그램을 적용하는 것이 좋습니다. 그렇지 않으면 이 수정 프로그램이 포함된 다음 Windows 2000 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 즉시 해결하려면 아래에서 설명하는 대로 수정 프로그램을 다운로드하거나 Microsoft 고객기술지원부에 문의하여 수정 프로그램을 구하십시오. Microsoft 고객기술지원부 전화 번호의 전체 목록과 기술 지원 비용에 대한 정보는 다음 웹 사이트를 참조하십시오.

http://www.microsoft.com/korea/support/supportnet/default.htm
참고: Microsoft 기술 지원 전문가가 특정 업데이트가 있어야 문제를 해결할 수 있다고 판단하는 특수한 경우에는 일반적으로 전화 지원에 발생하는 비용이 취소될 수도 있습니다. 특정 업데이트가 필요하지 않은 추가 지원 질문과 문제에는 일반 지원 비용이 적용됩니다.

Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다. 한국어 버전을 다운로드하려면 Language를 Korean으로 선택해야 합니다.
그림 축소그림 확대
Download
Download Q293826_W2K_SP3_x86_en.exe now
Microsoft 지원 파일을 다운로드하는 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
119591 온라인 서비스로부터 Microsoft 지원 파일들을 구하는 방법
Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신 바이러스 예방 프로그램으로 이 파일을 검사했습니다. 일단 파일이 게시되면 무단으로 변경할 수 없는 보안 서버에 보관됩니다.

이 수정 프로그램의 영어 버전은 다음의 파일 특성 또는 이보다 더 최신 버전의 파일 특성을 가집니다.
   날짜       시간    버전          크기    파일 이름
   --------------------------------------------------------
   05/04/2001  11:48a  5.0.2195.3554  245,520  Adsiis.dll
   05/04/2001  11:48a  5.0.2195.3554  332,560  Asp.dll
   08/26/2000  06:30p                   6,512  Fixerr.js
   11/10/2000  11:21p  4.0.2.4701     593,976  Fp4autl.dll
   03/27/2001  10:10p  0.9.3940.21    445,712  Httpext.dll
   05/04/2001  11:48a  5.0.2195.3554   56,592  Httpodbc.dll
   05/04/2001  11:48a  5.0.2195.3554  122,640  Iisrtl.dll
   05/04/2001  11:48a  5.0.2195.3554   13,584  Infoadmn.dll
   05/04/2001  11:48a  5.0.2195.3554  245,520  Infocomm.dll
   05/04/2001  11:48a  5.0.2195.3554   62,736  Isatq.dll
   05/04/2001  11:48a  5.0.2195.3554   46,352  Ism.dll
   05/04/2001  11:48a  5.0.2195.3555   76,560  Msw3prt.dll
   10/17/2000  01:38p  5.0.2195.2507    6,928  Schmupd.exe
   05/04/2001  11:48a  5.0.2195.3554   41,232  Ssinc.dll
   05/04/2001  11:48a  5.0.2195.3554    7,440  W3ctrs.dll
   05/04/2001  11:48a  5.0.2195.3554  357,648  W3svc.dll
참고: 이 패치는 Microsoft Windows 2000 Gold, Windows 2000 서비스 팩 1 또는 Windows 2000 서비스 팩 2를 실행 중인 시스템에 설치할 수 있습니다.

Internet Information Server 4.0

현재 수정 프로그램을 Microsoft에서 구할 수 있지만 이 문서에 설명하는 문제를 수정하기 위한 것일 뿐이므로 공격 위험이 있다고 판단되는 시스템에만 적용해야 합니다. 컴퓨터에 실제 액세스 가능성, 네트워크와 인터넷 연결성 및 기타 요인을 평가하여 컴퓨터가 위험에 노출된 정도를 확인하십시오. 여기에 도움이 되는 관련 Microsoft Security Bulletin을 참조하십시오. 이 수정 프로그램은 제품의 품질을 향상시키기 위해 나중에 추가 테스트를 받아야 할 수도 있습니다. 컴퓨터가 충분히 위험에 노출되어 있다고 생각되면 수정 프로그램을 적용하는 것이 좋습니다.

이 문제를 즉시 해결하려면 아래에서 설명하는 대로 수정 프로그램을 다운로드하거나 Microsoft 고객기술지원부에 문의하여 수정 프로그램을 구하십시오. Microsoft 고객기술지원부 전화 번호의 전체 목록과 기술 지원 비용에 대한 정보는 다음 웹 사이트를 참조하십시오.

http://www.microsoft.com/korea/support/supportnet/default.htm
참고: Microsoft 기술 지원 전문가가 특정 업데이트가 있어야 문제를 해결할 수 있다고 판단하는 특수한 경우에는 일반적으로 전화 지원에 발생하는 비용이 취소될 수도 있습니다. 특정 업데이트가 필요하지 않은 추가 지원 질문과 문제에는 일반 지원 비용이 적용됩니다.

Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다. 한국어 버전을 다운로드하려면 Language를 Korean으로 선택해야 합니다.
그림 축소그림 확대
Download
Download Q295534i.exe now
참고 : Q295534is.exe는 기호 파일입니다.
Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
119591 온라인 서비스로부터 Microsoft 지원 파일들을 구하는 방법
Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신 바이러스 예방 프로그램으로 이 파일을 검사했습니다. 일단 파일이 게시되면 무단으로 변경할 수 없는 보안 서버에 보관됩니다.

이 수정 프로그램의 영어 버전은 다음의 파일 특성 또는 이보다 더 최신 버전의 파일 특성을 가집니다.
   날짜       시간    버전          크기    파일 이름
   --------------------------------------------------------
   04/11/2001  01:32p  4.2.764.1      214,544  Adsiis.dll
   04/11/2001  01:33p  4.2.764.1      330,672  Asp.dll
   04/02/2001  04:55p  4.0.2.4701     593,976  Fp4autl.dll
   04/11/2001  01:32p  4.2.764.1       81,888  Ftpsvc2.dll
   04/11/2001  01:32p  4.2.764.1       55,392  Httpodbc.dll
   04/11/2001  01:32p  4.2.764.1       98,912  Iischema.dll
   04/11/2001  01:31p  4.2.764.1       63,472  Iislog.dll
   04/11/2001  01:31p  4.2.764.1      185,792  Infocomm.dll
   04/11/2001  01:31p  4.2.764.1       29,520  Iscomlog.dll
   04/11/2001  01:35p  4.2.764.1       54,560  Ism.dll
   04/02/2001  04:55p  4.0.1381.7086  375,056  Kernel32.dll
   04/11/2001  01:36p  4.2.764.1        9,680  Schmupd.exe
   04/11/2001  01:32p  4.2.764.1       38,256  Ssinc.dll
   04/11/2001  01:32p  4.2.764.1       25,360  Sspifilt.dll
   04/11/2001  01:32p  4.2.764.1      229,024  W3svc.dll
   04/11/2001  01:31p  4.2.764.1       88,032  Wam.dll
참고 : 이 패치는 Microsoft Windows NT 4.0 서비스 팩 5나 Windows NT 4.0 서비스 팩 6a를 실행 중인 시스템에 설치할 수 있습니다.

현재 상태

Microsoft는 본 문서의 시작 부분에 나열한 제품에서 이 문제를 확인했습니다.

추가 정보

이 보안 문제에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/technet/security/bulletin/ms01-026.mspx
Windows 2000 및 Windows 2000 핫픽스를 동시에 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
249149 Installing Microsoft Windows 2000 and Windows 2000 Hotfixes

속성

기술 자료: 295534 - 마지막 검토: 2014년 2월 2일 일요일 - 수정: 2.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
키워드:?
kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbwin2000sp3fix kbwinnt400presp7fix KB295534

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com