CVE-2002-0079 — 神龙十问 AI 深度分析摘要

🚨 **本质**：IIS 4.0/5.0 的 ASP ISAPI 过滤器在处理**分块编码**时存在**远程缓冲区溢出**。 💥 **后果**：攻击者可获取主机**本地普通用户访问权限**，导致服务器被控。

🔍 **缺陷点**：代码逻辑缺陷。 📉 **CWE**：数据未提供具体 CWE ID。 ⚠️ **核心**：处理 `chunked encoding transfer` 机制时，未正确校验缓冲区边界。

🖥️ **受影响组件**：Microsoft IIS (Internet Information Server)。 📦 **具体版本**：**IIS 4.0** 和 **IIS 5.0**。 📌 **关键配置**：默认安装并加载了 **ASP ISAPI 过滤器**的服务器。

🕵️ **黑客能力**：执行远程代码。 🔓 **权限提升**：获得**本地普通用户权限**。 📂 **数据风险**：虽未直接提及数据泄露，但获得权限后可进一步窃取或篡改数据。

🚪 **利用门槛**：**低**。 🌐 **认证要求**：**无需认证**（远程攻击者即可利用）。 ⚙️ **配置依赖**：需服务器默认加载 ASP ISAPI 过滤器（IIS 4.0/5.0 默认如此）。

📜 **Exp/PoC**：漏洞数据中 `pocs` 字段为空，无现成 Exp 列表。 🌍 **在野利用**：数据未明确提及在野利用情况，但属于高危远程漏洞，历史上常被利用。

🔎 **自查特征**： 1. 检查服务器是否为 **Windows 2000/NT4** 且运行 **IIS 4.0/5.0**。 2. 确认是否启用 **ASP** 功能。 3. 扫描是否响应包含 `Transfer-Encoding: chunked` 的恶意请求并触发溢出。

🛡️ **官方修复**：**已修复**。 📅 **补丁编号**：**MS02-018**。 📝 **来源**：Microsoft 官方安全公告及 Cisco、CERT 等第三方 advisories 均有提及。

🚧 **临时规避**： 1. **卸载或禁用** ASP ISAPI 过滤器（如无需 ASP 功能）。 2. 升级 IIS 版本至受支持版本。 3. 配置防火墙限制对 80/443 端口的访问。

⚡ **优先级**：**极高**。 📅 **发布时间**：2002年（MS02-018），虽为老漏洞，但属于**远程无认证**缓冲区溢出，危害极大。 💡 **建议**：若仍运行 IIS 4.0/5.0，必须立即应用 **MS02-018** 补丁或升级系统。