Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Actualización para Internet Information Service

Actualización para Internet Information Service

Por Deja un comentario

Se publica un parche acumulativo para IIS 4.0 y para IIS 5.0; que
incluyen todas las funcionalidades de los parches de seguridad
publicados para IIS 4.0 desde Windows NT 4.0
Service Pack 6a, y todos los parches de seguridad publicados para IIS
5.0 desde Windows 2000 Service Pack 2 e IIS 5.1.

Además de todas las vulnerabilidades cubiertas en anteriores parches,
esta actualización también incluye las correcciones para las
siguientes nuevas vulnerabilidades que afectan a IIS 4.0, 5.0 y 5.1:

* Vulnerabilidad de Cross-Site Scripting (CSS) en IIS 4.0, 5.0 y 5.1
en relación a los mensajes de error que se devuelven para avisar de
que la URL solicitada ha sido redireccionada.

* Un desbordamiento de búfer debido a que IIS 5.0 no valida
correctamente las peticiones para determinados tipos de páginas web
conocidos como server side includes. El atacante deberá poder subir
una página server-side include al servidor IIS vulnerable, y tras ello
solicitar dicha página. Este problema permitirá al atacante lograr la
ejecución de código de su elección.

* Una vulnerabilidad de denegación de servicio que resulta de un fallo
en la forma en que IIS 4.0 y 5.0 asignan peticiones de memoria cuando
se construyen las cabeceras que se devuelven al cliente web. El
atacante deberá subir una página ASP al servidor IIS vulnerable. Esta
página ASP, cuando es llamada por el atacante, intentará devolver una
cabecera extremadamente larga al cliente. Como IIS no limita la
cantidad de memoria que se usa, podrá provocar la caída de IIS al
consumir toda la memoria local.

* Una vulnerabilidad de denegación de servicio debida a que IIS 5.0 y
5.1 no tratan adecuadamente una condición de error cuando se realiza
una petición WebDAV muy larga.

IIS 4.0
http://microsoft.com/downloads/details.aspx?FamilyId=1DBC1914-98E9-4DED-ADBF-E9B374A1F79D&displaylang=en

IIS 5.0
http://microsoft.com/downloads/details.aspx?FamilyId=2F5D9852-4ADD-44F8-8715-AC3D7D7D94BF&displaylang=en

IIS 5.1 32-bit
http://microsoft.com/downloads/details.aspx?FamilyId=77CFE3EF-C5C5-401C-BC12-9F08154A5007&displaylang=en
IIS 5.1 64-bit
http://microsoft.com/downloads/details.aspx?FamilyId=86F4407E-B9BF-4490-9421-008407578D11&displaylang=en

Antonio Ropero
antonior@hispasec.com

Más información:

Microsoft Security Bulletin MS03-018
Cumulative Patch for Internet Information Service
http://www.microsoft.com/technet/security/bulletin/MS03-018.asp

What You Should Know About Microsoft Security Bulletin MS03-018
Security Update for Internet Information Services
http://www.microsoft.com/security/security_bulletins/ms03-018.asp

Acerca de Hispasec

Hispasec Ha escrito 6985 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.