Boletines de Vulnerabilidades |
Ejecución de código en Internet Information Services |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado | Microsoft Information Services 5.1 - 6.0 |
Descripción |
|
Se ha descubierto una vulnerabilidad en Internet Information Services (IIS) 5.1 hasta la 6.0. La vulnerabilidad reside en un error en la manera como procesa entradas a páginas Web ASP. Un atacante remoto podría ejecutar código arbitrario en el servidor IIS con los mismos permisos que el WPI (Worker Process Identity) configurado por defecto con privilegios "Network Service" mediante entradas especialmente diseñadas a páginas ASP. Existe una prueba de concepto disponible. El boletín MS08-006 sustituye al MS06-034 |
|
Solución |
|
Actualización de software Microsoft (MS08-006) Internet Information Services Windows XP (32-bit) / patch Windowsxp-kb942830-x86-enu Windows XP Professional (x64) / patch Windowsserver2003.Windows XP-KB942830-x64-ENU Windows Server 2003 (32-bit) / patch WindowsServer2003-KB942830-x86-enu Windows Server 2003 (Itanium) / patch WindowsServer2003-KB942830-ia64-enu Windows Server 2003 (x64) / patch WindowsServer2003.WindowsXP-KB942830-x64-enu |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2008-0075 |
BID | 27676 |
Recursos adicionales |
|
Microsoft Security Bulletin (MS08-006) http://www.microsoft.com/technet/security/bulletin/ms08-006.mspx |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2008-02-13 |