int(3800)

Vulnerability Bulletins

Ejecución de código en Internet Information Services

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer Microsoft
Affected software Microsoft Information Services 5.1 - 6.0

Description
Se ha descubierto una vulnerabilidad en Internet Information Services (IIS) 5.1 hasta la 6.0. La vulnerabilidad reside en un error en la manera como procesa entradas a páginas Web ASP.

Un atacante remoto podría ejecutar código arbitrario en el servidor IIS con los mismos permisos que el WPI (Worker Process Identity) configurado por defecto con privilegios "Network Service" mediante entradas especialmente diseñadas a páginas ASP.

Existe una prueba de concepto disponible.

El boletín MS08-006 sustituye al MS06-034

Solution


Actualización de software

Microsoft (MS08-006)
Internet Information Services
Windows XP (32-bit) / patch Windowsxp-kb942830-x86-enu
Windows XP Professional (x64) / patch Windowsserver2003.Windows XP-KB942830-x64-ENU
Windows Server 2003 (32-bit) / patch WindowsServer2003-KB942830-x86-enu
Windows Server 2003 (Itanium) / patch WindowsServer2003-KB942830-ia64-enu
Windows Server 2003 (x64) / patch WindowsServer2003.WindowsXP-KB942830-x64-enu

Standar resources
Property Value
CVE CVE-2008-0075
BID 27676

Other resources
Microsoft Security Bulletin (MS08-006)
http://www.microsoft.com/technet/security/bulletin/ms08-006.mspx

Version history
Version Comments Date
1.0 Aviso emitido 2008-02-13
Ministerio de Defensa
CNI
CCN
CCN-CERT