 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
CERT-FI haavoittuvuustiedote 035/2002
13.6.2002 Haavoittuvuus Microsoft IIS -ohjelmiston HTR-toiminnossa
Microsoft IIS (Internet Information Server/Services) -ohjelmisto sisältää HTR-toiminnon, jonka avulla voidaan esimerkiksi suorittaa web-pohjaista salasanojen hallinnointia. Haavoittuvuus liittyy HTR-toiminnon tapaan käsitellä sille ohjattuja komentoja tai viestejä. Hyökkääjän voi olla mahdollista haavoittuvuutta hyväksikäyttämällä kohdistaa kohdetietojärjestelmään palvelunestohyökkäyksiä tai saavuttaa mahdollisuuden suorittaa kohdetietojärjestelmässä omia komentojaan. HAAVOITTUVAT OHJELMISTOT:Microsoft IIS (Internet Information Server) versio 4.0 Microsoft IIS (Internet Information Services) versio 5.0 RATKAISU- JA RAJOITUSMAHDOLLISUUDET:Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta: Microsoft IIS (Internet Information Server) versio 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39579/ Microsoft IIS (Internet Information Services) versio 5.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39217/ Yleisohjeena CERT-FI suosittelee sulkemaan kaikki sellaiset palvelut ja toiminnot tietojärjestelmissä, joita ei välttämättä tarvita. Tämä koskee myös Microsoft IIS -ohjelmiston HTR-toimintoa. LISÄTIETOA:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-028.asp/ PÄIVITYSHISTORIA:13.06.2002: Julkaistu
|
|
