int(1076)

Boletines de Vulnerabilidades

Denegación de servicio en el gestor de mensajes XML de WebDav de Internet Information Services

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Microsoft
Software afectado Internet Information Services 5.0
Internet Information Services 5.1
Internet Information Services 6.0

Descripción
Se ha descubierto una vulnerabilidad en las versiones 5.0, 5.1 y 6.0 de Internet Information Services (IIS). La vulnerabilidad se da en servidores que están ejecutando IIS y WebDAV y reside en que WebDAV no limita el número de atributos que pueden ser especificados por elemento XML en las peticiones WebDAV.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto provocar un consumo de los recursos del sistema (memoria, CPU) y por lo tanto una denegación de servicio mediante el envío de peticiones WebDAV especialmente diseñadas.

Solución


Actualización de software

Microsoft
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=D2C632A7-CD43-466C-A624-D841905CE181
Microsoft Windows XP
Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=6A338C59-3693-4A25-B823-431A5C21A4B7
Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=0412A361-28C5-45F7-9853-BCDC9D7B2B97
Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=1F9CA027-B0B8-47DC-BB96-8709E3DB0DF2
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=81CE104D-5257-447C-A2CD-D4D149581D71
Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1F9CA027-B0B8-47DC-BB96-8709E3DB0DF2

Identificadores estándar
Propiedad Valor
CVE CAN-2003-0718
BID

Recursos adicionales
Microsoft Security Bulletin MS04-030
http://www.microsoft.com/technet/security/Bulletin/MS04-030.mspx

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2004-10-13
2.0 Exploit público disponible 2004-10-21

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT