Microsoft ha publicado una actualización de
seguridad para Internet Information Service (IIS) que, además de integrar
todas las correcciones que ha proporcionado desde el último Service Pack,
incorpora un parche que resuelve cuatro nuevas vulnerabilidades.
Los nuevos problemas de seguridad mencionados, que no afectan a Internet
Information Services 6.0, son:
- Vulnerabilidad por Cross-Site Scripting (CSS), que afecta a IIS 4.0, 5.0 y
5.1 y permite a un agresor crear e inyectar código en un enlace a un sitio
web afectado. En la práctica, posibilita que un atacante acceda a
información confidencial que se transmite entre el servidor web y el
usuario.
- Desbordamiento de buffer en IIS 5.0, que puede ser explotado a través de
diversas páginas tipo Server-Side Include (SSINC) como, por ejemplo,
“.shtml”, “.stm” y “.shtm”. Aunque sus implicaciones en materia de seguridad
pueden ser graves, ya que permitiría la ejecución de código en el servidor
afectado, el hecho de que el agresor pueda necesitar privilegios para subir
archivos en el servidor mitiga, en parte, las posibilidades del ataque.
- Denegación de Servicio (DoS), que afecta a IIS 4.0 y 5.0 y puede ser
explotada desde una página ASP especialmente construida para que devuelva al
cliente una cabecera extremadamente larga, ante la cual el servidor dejará
de prestar servicios debido a un fallo de memoria.
- Denegación de Servicio (DoS) en IIS 5.0 y 5.1, que puede ser explotada por
un atacante al realizar una petición muy larga a WebDAV.
Información adicional sobre las nuevas vulnerabilidades y la disponibilidad
de la actualización, según versiones, en el boletín de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-018.asp
Publicidad