ISAPI-приложение /_vti_bin/_vti_aut/dvwssr.dll устанавливаемое вместе с IIS позволяет получить доступ к любому .asp - документу на сервере. Библиотека, по-сути, является "черным ходом", причем в качестве пароля прошита фраза "Netscape engineers are weenies!" записанная задом наперед. Хотя разрешения по-умолчанию не позволяют анонимному пользователю получить доступ к dvwssr.dll, на многих серверах она открыта. Библиотеку можно смело удалить без потери функциональности. Проблему дополняет наличие переполнения буфера, которое позволяет выполнить любой код на сервере.
CPE | Name | Operator | Version |
---|---|---|---|
frontpage | eq | 98 | |
personal web server | eq | 4.0 | |
internet information server | eq | 4.0 |