Firma Microsoft potwierdziła istnienie luki w mechanizmach zabezpieczeń Internetowych Usług Informacyjnych w wersji 6.0, 5.0 oraz 5.1. Nieprawidłowe działanie rozszerzenia WebDAV może umożliwić niepowołanym osobom dostęp do chronionych hasłem katalogów.

Dzięki temu mogą oni bez przeszkód pobierać i umieszczać pliki na serwerze. Według Nicolasa Rangosa (odkrywcy luki) przyczyna tkwi w błędnie interpretowanych znakach Unicode przy dekodowaniu adresów URL w żądaniach HTTP obsługiwanych przez rozszerzenie WebDAV. Błąd ten pozwala atakującemu na obejście zabezpieczeń mechanizmu uwierzytelniania.

Do czasu opublikowania stosownych poprawek, Microsoft proponuje kilka rozwiązań:

• wyłączenie WebDAV,
• zweryfikowanie i ewentualną zmianę uprawnień ACL dla anonimowych użytkowników (konto IUSR_NazwaKomputera),
• skorzystanie z narzędzia UrlScan do wyeliminowania niepoprawnych adresów URL.

Przypominamy, że w przypadku IIS 6.0, funkcja WebDAV jest domyślnie wyłączona, a konto anonimowego użytkownika nie posiada uprawnień do zapisu. Firma Microsoft uspokaja również, że błąd ten nie dotyczy najnowszej wersji usługi IIS 7.0.

Więcej informacji na temat luki w usłudze IIS znaleźć można pod adresem:
www.microsoft.com/technet/security/advisory/971492.mspx

Dodaj na Twitter

Related posts:

1. Uwaga na błędy w popularnych przeglądarkach (Firefox i Opera) W Firefoksie 3.0.x oraz 3.5.x znaleziono liczne wysoce krytyczne błędy....
2. Filtrowanie adresów URL Trend Micro ponownie liderem w filtrowaniu adresów URL i zabezpieczeniach...

Powiązane wpisy wygenerowane przez wtyczkę Yet Another Related Posts.