微软已经修补了一个Crystal Reports网页组件。该组件用在Visual Studio .NET,2003, Outlook 2003,Microsoft Business Solutions CRM 1.2。
具体细节:
威胁来源于目录漏洞CAN-2004-0204,这可能导致拒绝服务攻击或者隐密资料的泄露。MBSA(Microsoft Baseline Security Analyzer)检测不到这个漏洞,但是只要SMS系统升级及时,它将会发现这个错误。
正如微软安全公告MS04-017所说的,“Crystal Reports Web Viewer的安全漏洞将导致信息泄露和拒绝服务攻击”,存在漏洞的组件是一个发布时间比9.1.9800.9.版本发布时间早的CrystalDecisions.Web.dll文件。
及时下载补丁是很有效的。
与IIS一同使用的Visual Studio .NET 2003和Outlook 2003 with Business Contact Manager,以及Microsoft Business Solutions CRM 1.2。
对于使用Visual Studio .NET 2003或Outlook 2003 with Business Contact Manager的系统,任何通过Crystal Reports Web Viewer以真实或匿名身份登录的用户,就可以利用此漏洞发起攻击。
对于 CRM 1.2,只有以真实身份登录的用户才能发起攻击,因为Web Viewer只允许以真实身份登录。
危害与系统安装的IIS有关的原因是,不同的IIS产品有不同的默认安装方式。微软指出此程序的其他版本没有这个缺陷。
