Microsoft ha publicado un boletín de seguridad en el que se reporta una vulnerabilidad en Microsoft Internet Information Server (IIS) que podría permitir la elevación de privilegios.
Versiones Afectadas
Se ven afectadas por esta vulnerabilidad las versiones de Microsoft Internet Information Server (IIS) 5.0, 5.1 y 6.0.
Detalle
Una vulnerabilidad en la forma en que la extensión WebDAV de IIS manipula solicitudes HTTP, permitiría una elevación de privilegios. Esto podría ser aprovechado para acceder a recursos protegidos por contraseña, consiguiendo descargar, crear o modificar archivos existentes en un sitio Web, mediante una solicitud “HTTP anonymous” especialmente diseñada.
Impacto
El impacto de esta vulnerabilidad es MODERADO.
Recomendaciones
Actualmente, Microsoft se encuentra investigando dicho problema de seguridad, por lo que se recomienda deshabilitar WebDAV como solución temporal hasta tanto se publique una actualización.
En IIS 5.0 y 5.1 WebDAV puede ser deshabilitado como se describe en La web de Microsoft
En IIS 6.0, WebDAV puede ser deshabilitado mediante el “Administrador de Internet Information Services (IIS)”, seleccionando “Extensiones de servicio Web”, y prohibiendo la extensión “WebDAV”.
Referencias
Más información sobre la vulnerabilidad reportada:
Microsoft:
http://www.microsoft.com/technet/security/advisory/971492.mspx
Secunia:
http://secunia.com/advisories/35109/
Hispasec:
http://www.hispasec.com/unaaldia/3858
Saludos
Dr.White
Fuente: segu-info.com.ar
No hay comentarios:
Publicar un comentario