关于Microsoft Windows Server 2003 IIS缓冲区溢出漏洞的安全公告

近日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Windows Server 2003 R2 IIS缓冲区溢出漏洞（CNVD-2017-03467，对应CVE-2017-7269）。远程攻击者可通过发送特制的PROPFIND请求执行任意代码。
一、漏洞情况分析
MicrosoftWindows Server 2003 是美国微软（Microsoft）公司发布的一套服务器操作系统。Internet Information Services（IIS）是一套运行于Microsoft Windows中的互联网基本服务。WebDAV （Web-based Distributed Authoring and Versioning）是一种基于HTTP 1.1协议的通信协议，它扩展了HTTP 1.1。
在MicrosoftWindows Server 2003 IIS 中开启了的WebDAV服务的‘ScStoragePathFromUrl’函数存在缓冲区溢出漏洞。远程攻击者可通过发送一个以”If: <http://”开始的较长header头的PROPFIND请求执行任意代码。
CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围
目前已确认Microsoft Windows Server 2003 R2 中开启WebDAV服务的IIS 6.0存在此漏洞，其他版本还未验证。
三、漏洞修复建议
目前微软官方暂未发布修复措施解决此安全问题，建议使用Windows Server2003 R2 IIS6.0的用户随时关注厂商主页或参考网址以获取解决办法： https://www.microsoft.com/en-us/

临时解决办法：
1.暂时关闭WebDAV服务器，
2.使用相关防护设备过滤PROPFIND特殊请求。