21 IIS4.0/IIS5.0超長(zhǎng)文件名請(qǐng)求存在漏洞

漏洞描述：
受影響的版本:
Microsoft IIS 5.0
+ Microsoft Windows NT 2000
Microsoft IIS 4.0
+ Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.0
- Microsoft Windows NT 4.0

當(dāng)在一個(gè)已知的文件名后加230個(gè)"%20"再加個(gè).htr，會(huì)使安裝有Microsoft IIS 4.0/5.0泄漏該文件的內(nèi)容。這是由ISM.dll
映射的.htr文件引起的.比如：
http://target/filename%20<重復(fù)230次>.htr
這種請(qǐng)求只有當(dāng).htr請(qǐng)求是第一次調(diào)用或者ISM.dll第一次裝載進(jìn)內(nèi)存，才能起作用。

解決方法：
安裝補(bǔ)�。�
Microsoft IIS 5.0:
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE

Microsoft IIS 4.0:
http://download.microsoft.com/download/iis40/Patch/Q260838/NT4ALPHA/EN-US/ismpst4i.exe
（出處：熱點(diǎn)網(wǎng)絡(luò)）