viernes, 31 de marzo de 2000

Extraña vulnerabilidad en IIS envía código fuente de páginas asp

Microsoft publica un parche para evitar un problema en Internet
Information Server por el que bajo condiciones muy raras podía
provocar que el servidor enviara el código fuente de páginas ASP.
El problema se da en condiciones muy poco habituales. Si un directorio
virtual en un servidor IIS está mapeado sobre una unidad compartida, y
una petición de un archivo en ese directorio termina con uno o varios
caracteres particulares, el procesamiento de la extensión ISAPI no se
lleva a cabo. Lo que provoca que se envíe el código fuente del archivo
solicitado al navegador.

Como explica Microsoft existen significantes restricciones que
incrementan la dificultad de explotar esta vulnerabilidad. Por diseño,
los directorios virtuales esconden la localización actual de los
archivos, en la mayoría de ocasiones un atacante no puede determinar
los archivos de un servidor que residen en una unidad compartida.

Por otra parte, muchos navegadores corrigen las peticiones que
contienen los caracteres que causan el problema, bien eliminando
dichos caracteres o modificándolos.

Las prácticas de seguridad recomiendan que los programadores no
incluyan ninguna información relevante en el código fuente de las
páginas web (html, asp o similares). Pero, en ocasiones se incluye
información como passwords en los archivos con el objeto de
personalizar o proteger el contenido que generan las páginas. Por este
motivo, si el código fuente de la página, se envia al navegador este
puede proporcionar a un atacante valiosa información para comprometer
la seguridad del sitio web.

La vulnerabilidad sólo ocurre cuando se realiza una petición a un
archivo en una unidad compartida empleando la nomenclatura UNC
(Universal Naming Convention), es decir, de la forma
\\Maquina1\directorio. Esto es, la vulnerabilidad sólo existe si el
archivo solicitado no reside en el servidor web, sino que se aloja en
otra máquina de la red a la cual tiene acceso el servidor. Esto quiere
deicr que los servidores que sólo sirven archivos almacenados
localmente no se ven afectados por esta vulnerabilidad.

Más información:
Boletín de seguridad de Microsoft
Preguntas y respuestas de Microsoft sobre la vulnerabilidad
Parche para Internet Information Server 4.0
Parche para Internet Information Server 5.0
Securityfocus



Antonio Ropero
antonior@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada