p2u

Обход ограничений безопасности в Microsoft IIS

В этой теме 1 сообщение

Программа: Microsoft IIS 6.0

Уязвимость позволяет удалённому злоумышленнику обойти ограничения безопасности на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в функциональности WebDAV. Эксплуатирование уязвимости позволит обойти механизм аутентификации и просмотреть, выгрузить, загрузить файлы в WebDAV папки защищённые паролем.

Эксплоит

Источник

Update:

Фирмы, работающие в области компьютерной безопасности, предупреждают пользователей серверного ПО Microsoft Internet Information Services 6 о новой сетевой атаке, которая может поставить под угрозу сохранность их данных.

Утечка вскрылась в прошлый четверг, когда исследователь Николаус Рангос опубликовал подробности о ней в рассылке Full Disclosure. Послав серверу особым образом составленный HTTP-запрос, он получил возможность просматривать и загружать на него различные файлы. Баг скрывается в способе обработки сервером IIS6 токенов, использующих кодировку Unicode.

Организация US CERT в понедельник сообщила о наличии случаев онлайн-атак на эту уязвимость. В Microsoft утверждают, что им о подобных атаках ничего неизвестно, однако в компании заявили, что там проводят изучение обнаруженной Рангосом проблемы и готовят для пользователей соответствующее руководство.

Баг актуален для тех пользователей IIS 6, у которых включены протоколы WebDAV, служащие для обмена документами через Сеть.

Независимый исследователь Тьерри Золлер подтвердил правильность изысканий Рангоса. Он сообщил, что эта дыра дает хакерам возможность просматривать и загружать файлы без авторизации. При этом способа запустить на сервере IIS неавторизованное ПО ему обнаружить не удалось. Золлер сообщил, что версии IIS 5 и IIS 7 данной уязвимости не подвержены, добавив при этом, что она может сработать с другими приложениями Microsoft, использующими технологию WebDAV. В качестве временной меры до выхода патча он посоветовал отключить WebDAV.

Источник

Paul

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS