Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Microsoft publica el parche para el problema de los htr

Microsoft publica el parche para el problema de los htr

Por Leave a Comment

Hace tres semanas informábamos de un nuevo descubrimiento de Georgi
Guninski, en el cual se hacía eco de una extensión de un problema
anteriormente solucionado por Microsoft, y que permitía la
visualización de archivos con scripts. Tres semanas después Microsoft
publica la solución para este problema que ha dejado miles de sitios
web desprotegidos ante todo tipo de ataques.
El problema relatado por Guninski permitía la visualización de páginas
con código en perl, cgis, o el archivo global.asa que generalmente
contiene el nombre de usuario y password para acceder a la base de
datos de la aplicación. Por ello, el problema podía considerarse de
bastante gravedad.

Además, la sencillez con que se podía llevar a cabo el ataque elevaba
aun más el riesgo. Una simple URL de la forma
http://www.servidor.afectado.com/global.asa%3F+.htr permitía al
atacante acceder a los datos del archivo indicado.

Este fallo de seguridad, relacionado con el tratamiento de archivos
.htr está causando graves problemas a los administradores de webs con
IIS, un hecho que constata esta realidad es que con el actual,
Microsoft se ha visto obligada a publicar tres boletines de seguridad
(y los correspondientes parches). Recomendamos a todos los
administradores la instalación de esta actualización de forma
inmediata, ya que como hemos explicado los problemas ocasionados por
este fallo son de elevada gravedad.

Microsoft publica las actualizaciones necesarias para solucionar y
evitar este problema que pueden encontrarse en las siguientes
direcciones:

Actualización para IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27492

Actualización para IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27491

Antonio Ropero
antonior@hispasec.com

Más información:

Visualización de archivos en Internet Information Server
http://www.hispasec.com/unaaldia.asp?id=805

Boletín de seguridad Microsoft (MS01-004)
http://www.microsoft.com/technet/security/bulletin/ms01-004.asp

Preguntas y respuestas de Microsoft en relación al problema
http://www.microsoft.com/technet/security/bulletin/fq01-004.asp

Georgi Guninski (Aviso Original)
http://www.guninski.com/iishtr.html

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.