Total Security - totalsecurity.com.br
Falha no IIS pode atingir grande número de sites
Mais uma vulnerabilidade grave foi descoberta no IIS servidor web da Microsoft utilizado em diversos web servers, podendo atingir um enorme número de sites que podem estar vulneráveis.Trata-se de de um erro provocado por URL"s mal-formadas, que pode ser explorado para causar falhas de negação de serviço (DoS).
Para se explorar a falha basta digitar a URL no navegador, causando um crash no serviço do IIS.
EX:
http://[host]/[dir]/.dll/%01~0
O sucesso ao exlporar a falha requer que "[dir]" seja um diretório virtual com permissão para rodar script e executáveis.
O IIS reinicia automáticamente após o crash.
A vulnerabilidade foi confirmada em um sistema com IIs 5.1 rodando em um Windows XP SP2
Solução
Filtrar sequências de caracteres potencialmente maliciosas com um HTTP proxy.
Total Security
Para se explorar a falha basta digitar a URL no navegador, causando um crash no serviço do IIS.
EX:
http://[host]/[dir]/.dll/%01~0
O sucesso ao exlporar a falha requer que "[dir]" seja um diretório virtual com permissão para rodar script e executáveis.
O IIS reinicia automáticamente após o crash.
A vulnerabilidade foi confirmada em um sistema com IIs 5.1 rodando em um Windows XP SP2
Solução
Filtrar sequências de caracteres potencialmente maliciosas com um HTTP proxy.
Total Security
Fonte:
Eu escrevi
URL Fonte: https://totalsecurity.com.br/noticia/1036/visualizar/
Comentários