Microsoft publica un nuevo parche para Internet Information Server. Se
trata de un parche acumulativo que incluye las funcionalidades de todos
los parches publicados hasta la fecha para IIS 5.0, y todos los parches
publicados para IIS 4.0 desde el Service Pack 5. Además este parche
viene a cubrir cinco nuevas vulnerabilidades.
Además de incluir todos los parches previamente publicados, este parche
también cubre cinco nuevas vulnerabilidades de denegación de servicios
que afectan a IIS 4.0 y 5.0:
* Una denegación de servicios que puede permitir a un atacante que el
servicio IIS deje de funcionar si la redirección de URL está activada.
* Una denegación de servicio que puede permitir a un atacante
interrumpir temporalmente el correcto funcionamiento de IIS 5.0. WebDAV
no trata de forma correcta determinadas peticiones demasiado largas.
Tales peticiones harán que IIS 5.0 deje de funcionar, aunque por defecto
el servicio se reiniciará de forma automática.
* Otra denegación de servicio tiene relación con la forma en que IIS 5.0
interpreta los contenidos de cabeceras MIME no válidas.
* Existe una vulnerabilidad de desbordamiento de bufer en el código que
ejecuta las directivas server-side include (SSI).
* El parche también cubre una vulnerabilidad de elevación de privilegios
existente en una tabla que IIS 5.0 consulta para determinar los procesos
que deben ejecutarse internamente o externamente.
Este parche se encuentra disponible en las siguientes direcciones:
Para Microsoft IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
Para Microsoft IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011
antonior@hispasec.com
Más información:
Boletín de seguridad de Microsoft (MS01-044):
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
Deja un comentario