Microsoft ofrece un parche que elimina una vulnerabilidad que permite
la lectura no autorizada de ficheros en determinadas versiones del
Servidor de Web Personal bajo Windows 95 o 98.
El nuevo parche permite eliminar una vulnerabilidad existente en
algunas versiones del Servidor de Web Personal (Personal Web Server)
bajo Windows 95 o Windows 98. Los productos afectados por el problema
tienen nombres muy similares y son el Microsoft Personal Web Server
y el FrontPage Personal Web Server. En estas aplicaciones un usuario
no autorizado puede acceder a ficheros del servidor, con sólo conocer
el nombre del archivo y solicitarlo a través de una URL distinta de
lo habitual. Los usuarios que empleen productos de servidor web bajo
Windows NT no están afectados.
Esta vulnerabilidad permite a través de una petición fuera de lo
habitual saltarse los controles de acceso del servidor web, y acceder
a la lectura de cualquier archivo cuyo nombre se conozca. Aunque se
pueden leer ficheros, no se admite la modificación ni el borrado de
archivos, tampoco se pueden crear nuevos archivos. La vulnerabilidad
no permite usurpar ningún privilegio administrativo del servidor.
A pesar de que los productos afectados se proporcionan como parte de
Windows 95 y 98, ninguno se encuentra activado por defecto. Además
ninguno de los productos afectados exhiben la vulnerabilidad cuando
se ejecutan bajo Windows NT. Microsoft no ha recibido ningún aviso
de usuarios afectados por estos problemas, a pesar de ello publica
un parche para corregir de forma activa el error.
Más información:
Microsoft Knowledge Base:
http://support.microsoft.com/support/kb/articles/q216/4/53.asp
http://support.microsoft.com/support/kb/articles/q217/7/65.asp
http://support.microsoft.com/support/kb/articles/q217/7/63.asp
Boletin de Microsoft:
http://www.microsoft.com/security/bulletins/ms99-010.asp
Deja una respuesta