Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Una URL puede provocar un fallo en un servicio de IIS 5 y Exchange 2000

Una URL puede provocar un fallo en un servicio de IIS 5 y Exchange 2000

Por Leave a Comment

Internet Information Server 5.0 contiene un error que afecta en la
forma en que se tratan las URLs con una construcción y longitud
específicas. Si se envían múltiples peticiones de dicha URL
específicamente diseñada podrá causar un error en la asignación de
memoria que provocará un fallo en el servicio IIS.
Esta vulnerabilidad de denegación de servicios también afecta a
Exchange 2000. Esto ocurre debido a la necesidad de soportar clientes
de correo basados en web, Exchange introduce diversos componentes de
IIS 5.0, y una parte del código que conforma el servidor de correo es
el afectado por el problema.

Los dos programas contienen el mismo error, que puede ser explotado de
la misma forma, pero el efecto en ambos casos será la caída del
servicio IIS. En ningún caso el servidor Exchange sufrirá por un
ataque de este tipo, por lo que los usuarios podrán seguir usando sus
clientes de correo de forma habitual. Tan sólo se ve afectado el
servicio IIS, por lo que en tal caso si se verán afectados los
usuarios que hagan uso de un cliente de correo basado en web.

Como el problema ocurre en dos módulos diferentes, uno de los cuales
se instala como parte de IIS 5.0 y ambos forman parte de Exchange
2000, los administradores de Exchange 2000 deben instalar los dos
parches que publica Microsoft para corregir el problema.

Esta vulnerabilidad tiene varios factores que mitigan su gravedad. En
primer lugar en ningún caso podrá permitir a un atacante la
consecución de privilegios administrativos o cualquier tipo de control
sobre el servidor. Por otra parte los servicios afectados se reinician
de forma automática en caso de fallo, por lo que los sistemas
afectados podrán reanudar su funcionamiento de forma casi inmediata.

Antonio Ropero
antonior@hispasec.com

Más información:

Boletín de Microsoft (MS01-14)
http://www.microsoft.com/technet/security/bulletin/MS01-014.asp

Parche para Microsoft IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=28155

Parche para Microsoft Exchange 2000
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=28369

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.