Actualización para IIS

  • Por
Parche acumulativo para el servidor web Internet Information Services, de Microsoft.
Se publica un parche acumulativo para IIS 4.0 y para IIS 5.0; que incluyen todas las funcionalidades de los parches de seguridad publicados para IIS 4.0 desde Windows NT 4.0 Service Pack 6a, y todos los parches de seguridad publicados para IIS 5.0 desde Windows 2000 Service Pack 2 e IIS 5.1.

Además de todas las vulnerabilidades cubiertas en anteriores parches, esta actualización también incluye las correcciones para las siguientes nuevas vulnerabilidades que afectan a IIS 4.0, 5.0 y 5.1:

* Vulnerabilidad de Cross-Site Scripting (CSS) en IIS 4.0, 5.0 y 5.1 en relación a los mensajes de error que se devuelven para avisar de que la URL solicitada ha sido redireccionada.

* Un desbordamiento de búfer debido a que IIS 5.0 no valida correctamente las peticiones para determinados tipos de páginas web conocidos como server side includes. El atacante deberá poder subir una página server-side include al servidor IIS vulnerable, y tras ello solicitar dicha página. Este problema permitirá al atacante lograr la ejecución de código de su elección.

* Una vulnerabilidad de denegación de servicio que resulta de un fallo en la forma en que IIS 4.0 y 5.0 asignan peticiones de memoria cuando se construyen las cabeceras que se devuelven al cliente web. El atacante deberá subir una página ASP al servidor IIS vulnerable. Esta página ASP, cuando es llamada por el atacante, intentará devolver una cabecera extremadamente larga al cliente. Como IIS no limita la cantidad de memoria que se usa, podrá provocar la caída de IIS al consumir toda la memoria local.

* Una vulnerabilidad de denegación de servicio debida a que IIS 5.0 y 5.1 no tratan adecuadamente una condición de error cuando se realiza una petición WebDAV muy larga.

Las actualizaciones pueden descargarse desde:

IIS 4.0
IIS 5.0
IIS 5.1 32-bit
IIS 5.1 64-bit

Más información:

Microsoft Security Bulletin MS03-018
Cumulative Patch for Internet Information Service
http://www.microsoft.com/technet/security/bulletin/MS03-018.asp

What You Should Know About Microsoft Security Bulletin MS03-018
Security Update for Internet Information Services
http://www.microsoft.com/security/security_bulletins/ms03-018.asp

Autor

Miguel Angel Álvarez

Miguel es fundador de DesarrolloWeb.com y la plataforma de formación online EscuelaIT. Comenzó en el mundo del desarrollo web en el año 1997, transformando su hobby en su trabajo.

Compartir