إستخدام توقيعات مطابقة السلسلة المخصصة ل Cisco Secure IDS/NetRanger ل "رمز أحمر" تجاوز سعة التخزين المؤقت عن بعد للدودة في امتداد ISAPI لخادم Microsoft Index في IIS 4.0 و 5.0

خيارات التنزيل

  • PDF     (260.4 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (96.2 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (83.5 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٤ يونيو ٢٠٠٨
معرّف المستند:13870

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

وحتى نهاية تموز (يوليو) 2003، قدرت منظمة أبحاث مستقلة في كارلسباد، كاليفورنيا، ان دودة "الشفرة الحمراء" كلفت الشركات 1،2 بليون دولار (اميركي) في الشفاء من ضرر الشبكة والإنتاجية المفقودة. وقد ارتفع هذا التقدير بشكل كبير مع الإصدار اللاحق للدودة "الشفرة الحمراء الثانية" الأكثر قوة. أثبت نظام اكتشاف الاقتحام الآمن (IDS) من Cisco، وهو مكون أساسي في مخطط Cisco الآمن، قيمته في اكتشاف مخاطر أمان الشبكة والتخفيف منها، بما في ذلك دودة "الرمز الأحمر".

يصف هذا المستند تحديث برنامج للكشف عن طريقة الاستغلال المستخدمة من قبل دودة "الشفرة الحمراء" (راجع التوقيع 2 أدناه).

يمكنك إنشاء توقيعات مطابقة السلسلة المخصصة الموضحة أدناه لتعقب إستغلال تجاوز سعة التخزين المؤقت لخوادم الويب التي تشغل Microsoft Windows NT و Internet Information Services (IIS) 4.0 أو Windows 2000 و IIS 5.0. لاحظ أيضا أن خدمة الفهرسة في الإصدار بيتا من Windows XP معرضة أيضا للخطر. تتوفر نصيحة الأمان التي تصف هذه الثغرات الأمنية على http://www.eeye.com/html/Research/Advisories/AD20010618.htmlicon_popup_short.gif. قامت Microsoft بإصدار حزمة تصحيح لهذه الثغرة التي يمكن تنزيلها من http://www.microsoft.com/technet/security/bulletin/MS01-033.mspxicon_popup_short.gif.

أصبحت التوقيعات التي تمت مناقشتها في هذا المستند متوفرة في تحديث التوقيع الإصدار S(5). توصي Cisco Systems بترقية أجهزة الاستشعار إلى 2.2.1.8 أو 2.5(1)S3 تحديث توقيع قبل تنفيذ هذا التوقيع. يمكن للمستخدمين المسجلين تنزيل تحديثات التوقيع هذه من مركز برامج الأمان من Cisco. يمكن لجميع المستخدمين الاتصال بدعم Cisco التقني عبر البريد الإلكتروني والهاتف من خلال جهات اتصال Cisco في جميع أنحاء العالم.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

  • Microsoft Windows NT و IIS 4.0

  • Microsoft Windows 2000 و IIS 5.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

توقيعات مطابقة السلسلة المخصصة

هناك توقيعان مخصصان لمطابقة السلسلة لمعالجة هذه المشكلة. يتم وصف كل توقيع أدناه، كما يتم توفير إعدادات المنتج القابلة للتطبيق.

التوقيع 1 — وصول خادم الفهرس مع محاولة الاستغلال

يتم تشغيل هذا التوقيع على محاولة تجاوز سعة التخزين المؤقت على ملحق ISAPI الخاص ب Indexing Server بالاقتران مع محاولة تمرير رمز shell إلى الخادم للحصول على حق الوصول المميز في النموذج الأصلي للرمز. يتم تشغيل التوقيع فقط على محاولة تمرير رمز shell إلى الخدمة الهدف في محاولة للحصول على وصول كامل على مستوى النظام. إحدى المشاكل المحتملة هي أن هذا التوقيع لا يتم تشغيله إذا لم يحاول المهاجم تمرير أي رمز من رموز Shell، ولكن يقوم فقط بتشغيل تجاوز سعة التخزين المؤقت مقابل الخدمة في محاولة لتحطيم IIS وإنشاء رفض الخدمة.

السلسلة 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

إعدادات المنتج

  • التكرارات: 1

  • المنفذ: 80

ملاحظة: إذا كانت لديك خوادم ويب تنصت إلى منافذ TCP الأخرى (على سبيل المثال، 8080)، فأنت بحاجة إلى إنشاء مطابقة سلسلة مخصصة منفصلة لكل رقم منفذ.

  • مستوى خطورة التنبيه الموصى به:

    • عالي (Cisco Secure Policy Manager)

    • 5 (مدير UNIX)

  • الإتجاه:

                  إلى

SIGNATURE 2 — تجاوز سعة التخزين المؤقت للوصول إلى خادم الفهرس ل "Code Red" WORM

يعمل التوقيع الثاني على محاولة تجاوز سعة التخزين المؤقت على ملحق ISAPI الخاص ب Indexing Server بالاقتران مع محاولة تمرير رمز shell إلى الخادم للحصول على حق الوصول المميز في النموذج الغامض الذي تستخدمه الدودة "Code Red". يتم تشغيل هذا التوقيع فقط عند محاولة تمرير رمز shell إلى الخدمة الهدف في محاولة للحصول على الوصول الكامل على مستوى النظام. إحدى المشاكل المحتملة هي أن هذا التوقيع لا يتم تشغيله إذا لم يحاول المهاجم تمرير أي رمز من رموز Shell، ولكن يقوم فقط بتشغيل تجاوز سعة التخزين المؤقت مقابل الخدمة في محاولة لتحطيم IIS وإنشاء رفض الخدمة.

السلسلة 

[/]default[.]ida[?][a-zA-Z0-9]+%u

ملاحظة: لا توجد مسافات فارغة في السلسلة أعلاه.

إعدادات المنتج

  • التكرارات: 1

  • المنفذ: 80

ملاحظة: إذا كانت لديك خوادم ويب تنصت إلى منافذ TCP الأخرى (على سبيل المثال، 8080)، فأنت بحاجة إلى إنشاء مطابقة سلسلة مخصصة منفصلة لكل رقم منفذ.

  • مستوى خطورة التنبيه الموصى به:

    • عالي (Cisco Secure Policy Manager)

    • 5 (مدير UNIX)

  • الإتجاه:

                  إلى

لمزيد من المعلومات حول معرفات Cisco الآمنة، ارجع إلى اكتشاف التسلل الآمن من Cisco.

معلومات ذات صلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
10-Dec-2001
الإصدار الأولي

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات