Vulnerability Bulletins |
Ejecución de código en Internet Information Services |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Microsoft |
Affected software | Microsoft Information Services 5.1 - 6.0 |
Description |
|
Se ha descubierto una vulnerabilidad en Internet Information Services (IIS) 5.1 hasta la 6.0. La vulnerabilidad reside en un error en la manera como procesa entradas a páginas Web ASP. Un atacante remoto podría ejecutar código arbitrario en el servidor IIS con los mismos permisos que el WPI (Worker Process Identity) configurado por defecto con privilegios "Network Service" mediante entradas especialmente diseñadas a páginas ASP. Existe una prueba de concepto disponible. El boletín MS08-006 sustituye al MS06-034 |
|
Solution |
|
Actualización de software Microsoft (MS08-006) Internet Information Services Windows XP (32-bit) / patch Windowsxp-kb942830-x86-enu Windows XP Professional (x64) / patch Windowsserver2003.Windows XP-KB942830-x64-ENU Windows Server 2003 (32-bit) / patch WindowsServer2003-KB942830-x86-enu Windows Server 2003 (Itanium) / patch WindowsServer2003-KB942830-ia64-enu Windows Server 2003 (x64) / patch WindowsServer2003.WindowsXP-KB942830-x64-enu |
|
Standar resources |
|
Property | Value |
CVE | CVE-2008-0075 |
BID | 27676 |
Other resources |
|
Microsoft Security Bulletin (MS08-006) http://www.microsoft.com/technet/security/bulletin/ms08-006.mspx |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2008-02-13 |