CERT-FI haavoittuvuustiedote 048/2004

14.7.2004

Haavoittuvuus Microsoft IIS 4.0 -palvelinohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Microsoft Internet Information Server (IIS) on www-palvelinohjelmisto. Internet Information Server -ohjelmistosta on löytynyt haavoittuvuus.

Haavoittuvuus liittyy IIS-palvelinohjelmiston edelleen ohjaustoiminnon (redirector) tapaan käsitellä sivupyyntöjä. Haavoittuvuutta hyväksikäyttääkseen hyökkääjän on lähetettävä palvelinohjelmistolle tietyllä tavalla muokattu pyyntö. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa tietojärjestelmässä haluamaansa ohjelmakoodia.

Microsoft on luokitellut haavoittuvuuden Important-luokkaan.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Internet Information Server (IIS) 4.0

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä Microsoftin turvatiedotteen MS04-021 mukaisesti:

http://www.microsoft.com/technet/security/bulletin/ms04-021.mspx

Haavoittuvuuden hyväksikäyttöä voidaan rajoittaa estämällä edelleen ohjaustoiminnon käyttäminen tai käyttämällä IIS Lockdown ja URLScan -työkaluja.

LISÄTIETOA:

http://www.microsoft.com/security/bulletins/200407_windows.mspx

http://www.microsoft.com/technet/security/bulletin/ms04-021.mspx

http://support.microsoft.com/default.aspx?scid=kb;en-us;841373

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0205

PÄIVITYSHISTORIA:

14.07.2004: Julkaistu

Sivua päivitetty 11.03.2007

Tulostusversio