int(398)

Vulnerability Bulletins

Vulnerabilidad de cross site scripting en el servidor ISA de Microsoft

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer Microsoft
Affected software Microsoft Internet Security; Acceleration (ISA) Server 2000

Description
El servidor ISA de Microsoft contiene páginas de error HTML que le permiten responder a determinadas peticiones fallidas. Se ha descubierto una vulnerabilidad de cross site scripting en muchas de ellas, cuya explotación podría ser aprovechada para la ejecución de código en una máquina víctima que visite un link especialmente diseñado.

Solution


Actualización de software
Microsoft ISA Server
http://download.microsoft.com/download/5/a/a/5aabcffe-e89c-4275-b2ba-64c47e42f078/ISA2000-KB816456-x86.exe

Standar resources
Property Value
CVE CAN-2003-0526
BID

Other resources
Microsoft Security Bulletin: MS03-028
http://www.microsoft.com/technet/security/bulletin/MS03-028.mspx

Microsoft Knowledgebase Article: Q816456
http://support.microsoft.com/?kbid=816456

Version history
Version Comments Date
1.0 Aviso emitido 2003-07-18
Ministerio de Defensa
CNI
CCN
CCN-CERT