Boletines de Vulnerabilidades |
Compromiso root en Microsoft IIS 5.0 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Compromiso Root |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | Microsoft |
| Software afectado |
Microsoft IIS 5.0 Microsoft Windows 2000 |
Descripción |
|
|
Existe una vulnerabilidad de desbordamiento de búfer en Microsoft IIS 5.0 sobre Windows 2000. IIS 5.0 está instalado y se ejecuta por defecto en todos los productos Windows 2000 Server. Microsoft IIS 5.0 soporta WebDAV (World Wide Web Distributed Authoring and Versioning), que permite la edición y manipulación de archivos de servidor por parte de usuarios en otras máquinas. WebDAV contiene una vulnerabilidad de desbordamiento de búfer en su componente ntdll.dll. Un atacante remoto podría explotar esta vulnerabilidad mediante el envío de una petición HTTP construida a este efecto para causar una caída del servidor o ejecutar código arbitrario en el contexto de seguridad del servicio IIS (por defecto, LocalSystem), pudiéndose hacer con el control de éste. |
|
Solución |
|
|
Actualización de software Windows 2000 Security Patch: IIS Remote Exploit from ntdll.dll Vulnerability - Español http://microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=C9A38D45-5145-4844-B62E-C69D32AC929B |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2003-0109 |
| BID | |
Recursos adicionales |
|
|
Microsoft Security Bulletin MS03-007: Unchecked Buffer In Windows Component Could Cause Web Server Compromise http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-03-18 |