1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2009-003 Vulnerabilidad en Microsoft Internet Information Services podría permitir elevación de privilegios (971492)

Se están investigando nuevos informes públicos de una vulnerabilidad en Microsoft Internet Information Services (IIS).

  • Fecha de Liberación: 18-May-2009
  • Ultima Revisión: 14-Oct-2009
  • Fuente: Microsoft Corp.
  • Riesgo Importante
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Elevación de privilegios

Sistemas Afectados

Microsoft Internet Information Services 5.0 KB967723
Microsoft Internet Information Services 5.1 KB967723
Microsoft Internet Information Services 6.0 KB967723

Sistemas No Afectados

Microsoft Internet Information Services 7.0 == .
  1. Descripción

    Esta vulnerabilidad de elevación de privilegios existe en la forma en que la extensión WebDAV para IIS maneja peticiones para HTTP.

  2. Impacto

    Un atacante podría explotar la vulnerabilidad mediante la creación de una petición HTTP especialmente para un sitio Web que requiere autenticación, y, por tanto, obtener acceso no autorizado a recursos protegidos.

  3. Solución

    Las siguientes soluciones no corrigen esta vulnerabilidad pero ayudan a bloquear conocidos vectores de ataque.

    1. Deshabilitar WebDAV

    2. Método alternativo para deshabilitar WebDAV en IIS 5.0 e IIS 5.1

    3. Método alternativo para deshabilitar WebDAV en IIS 5.1 e IIS 6.0

    4. Para IIS 5.1 e IIS 6.0, descargar Microsoft v3.1 UrlScan filtro de uno de los siguientes:

      1. Para sitemas de 32 bits

      2. Para sistemas de 64 bits

    5. Cambio de sistema de archivos ACL para denegar el acceso a la cuenta de usuario anónimo:

      1. Artículo 271071

      2. Artículo 812614

  4. Referencias

    1. http://www.microsoft.com/technet/security/advisory/971492.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT