Kumulatív patch a Microsoft IIS-hez

A patch egy olyan javításgyűjtemény, mely magába foglalja az IIS 4.0 összes foltozását a Windows NT 4.0 SP 6a óta, az IIS 5.0 javításait a Windows 2000 SP2 óta, illetve az IIS 5.1-et is érinti (az Internet Information Service 6-os változatát azonban nem). Ezen felül további négy javítást is tartalmaz, melyeket nemrég fedeztek fel.

A Cross-Site Scripting sérülékenység a 4.0-s, 5.0-s és 5.1-es IIS esetében egyaránt veszélyt jelent. Egy támadó, aki képes rávenni egy felhasználót, hogy rákattintson a website-ján egy linkre, egy scripttel át tudja irányítani a felhasználót. Ennek eredményeként egy harmadik (IIS-t futtató) website eredményét kaphatja meg a felhasználó, melyben megtalálható az eredeti script – és már a biztonságos(nak vélt) website-ra vonatkozó jogokkal ténykedhet a célszemély számítógépén.

Puffertúlcsordulás következtében léphet fel a második hiba, ami annak eredménye lehet, hogy az IIS 5.0 nem megfelelően érvényesíti bizonyos weblapok kérelmeit. Ezt a következőképp tudja kihasználni a támadó: feltölt egy megfelelően elkészített weblapot a szerverre, majd egy kérelmet intéz ehhez a weblaphoz. Ennek eredménye pedig puffertúlcsordulás lesz, ami után a támadó felhasználói szintű jogokkal futtathat kódot a szerveren.

Harmadikként a denial of service sérülékenységet javították a fejlesztők, mely az IIS 4.0-t és 5.0-t érinti. Ez a webklienseknek visszaküldendő fejlécek létrehozásakor történő memóriakérelem nem megfelelő működéséből adódik. Egy támadó ezt úgy tudja kihasználni, hogy feltölt egy ASP lapot egy meg nem patch-elt IIS szerverre, majd hívást intéz az ASP lap irányába. Ennek következtében a szerver egy extrém nagy fejlécet küld vissza – de mivel az IIS nem rendelkezik memóriakorlátozással ebben az esetben, így igencsak jelentős mennyiségű operatív tár foglalható le a harmadik sérülékenység kiaknázásával.

Végezetül a negyedik hiba szintén egy DoS sérülékenység, amely abból következik, hogy az IIS 5.0 és 5.1 nem kezeli megfelelően a túlságosan hosszú WebDAV kérelmek hibakondícióját. Eredménye hasonló, mint az előző hiba esetén.

Érdemes tehát a kumulatív javítást telepíteni – de csakis az MS02-050 patch felrakása után (ha az korábban még nem került volna installálásra). Ennek hiányában ugyanis gondok lépnek fel a szerver-kliens oldal közötti kommunikációban.

Érintett rendszerek

Microsoft Internet Information Service 4.0
Microsoft Internet Information Service 5.0
Microsoft Internet Information Service 5.1