Se están investigando nuevos informes públicos de una vulnerabilidad en Microsoft Internet Information Services (IIS).
Microsoft Internet Information Services 5.0 | < | KB967723 |
Microsoft Internet Information Services 5.1 | < | KB967723 |
Microsoft Internet Information Services 6.0 | < | KB967723 |
Microsoft Internet Information Services 7.0 | == | . |
Esta vulnerabilidad de elevación de privilegios existe en la forma en que la extensión WebDAV para IIS maneja peticiones para HTTP.
Un atacante podría explotar la vulnerabilidad mediante la creación de una petición HTTP especialmente para un sitio Web que requiere autenticación, y, por tanto, obtener acceso no autorizado a recursos protegidos.
Las siguientes soluciones no corrigen esta vulnerabilidad pero ayudan a bloquear conocidos vectores de ataque.
Método alternativo para deshabilitar WebDAV en IIS 5.0 e IIS 5.1
Método alternativo para deshabilitar WebDAV en IIS 5.1 e IIS 6.0
Para IIS 5.1 e IIS 6.0, descargar Microsoft v3.1 UrlScan filtro de uno de los siguientes:
Cambio de sistema de archivos ACL para denegar el acceso a la cuenta de usuario anónimo:
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT