Recientemente Microsoft publicó un parche para cubrir una
vulnerabilidad que puede ser empleada para causar ataques de
denegación de servicios contra el servidor web que se ofrece con
Internet Information Server 4.0. La polémica surgió a las pocas
horas después cuando rectificaba su publicación y retiraba el
parche de sus servidores.
El problema ocurre cuando múltiples peticiones http con cabeceras
especialmente mal construidas se envían al servidor web atacado.
A causa de este ataque Information Server consumirá toda la
memoria del servidor. Si esto ocurre, IIS será incapaz de
responder a ninguna petición hasta que los clientes que
realizaron las peticiones se cierren o bien el servicio IIS sea
parado y reiniciado. Una vez que ocurra cualquiera de ambas
acciones el servidor web volverá a su funcionamiento normal.

Básicamente, el ataque puede realizarse mediante la solicitud de
múltiples peticiones «Host: aaaaa…aa» al IIS como sigue:

GET / HTTP/1.1
Host: aaaaaaaaaaaaaaaaaaaaaaa….(200 bytes)
Host: aaaaaaaaaaaaaaaaaaaaaaa….(200 bytes)
…10,000 líneas
Host: aaaaaaaaaaaaaaaaaaaaaaa….(200 bytes)

Pero el mismo día en que Microsoft publicaba un boletín de
seguridad para comunicar esta vulnerabilidad e informaba de la
disponibilidad de un parche para solucionarla, volvía a emitir un
nuevo comunicado para alertar de la existencia de un error en el
parche publicado. Por lo que se retiraba el parche de los
servidores de Microsoft hasta la difusión del parche adecuado.

En el segundo boletín se comunicaba que toda la información sobre
el bug es correcta, el problema venía dado por el parche que
podía provocar el cuelgue del Internet Information Server si el
archivo de log del IIS alcanzaba un tamaño múltiplo de 64 Kbytes.
Por este motivo, Microsoft se vió obligada a retirar el parche de
sus servidores e informar del nuevo problema.

Según informa en un breve periodo de tiempo, la compañía tendrá a
disposición de todos los administradores el parche correcto para
su instalación.

Más información:
Boletín Microsoft original
Preguntas y respuestas sobre el bug
Boletín de cancelación

Antonio Ropero

Compártelo: