Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2009 > CERT-FI haavoittuvuustiedote 038/2009

CERT-FI haavoittuvuustiedote 038/2009

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

18.5.2009

Haavoittuvuus Microsoft Internet Information Services -ohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - suojauksen ohittaminen
Lisätietoja
Ratkaisu: - ongelman rajoittaminen
Lisätietoja
Microsoft IIS -ohjelmistosta on löytynyt haavoittuvuus. Haavoittuvuus liittyy IIS 6.0 -ohjelmiston WebDAV-toteutukseen, joka ei tee riittäviä pääsynvalvontatarkastuksia Unicode-merkkejä sisältäville pyynnöille. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista saada haltuunsa haavoittuvalla web-palvelimella olevaa salasanasuojattua sisältöä. Hyökkääjän on myös mahdollista lukea, listata ja muokata haavoittuvan järjestelmän salasanasuojatuissa WebDAV-hakemistoissa olevaa sisältöä ja tietyissä konfiguraatioissa lisätä WebDAV-hakemistoihin omaa sisältöään. Haavoittuvuuden hyväksikäytöstä on havaittu merkkejä. Haavoittuvuuden hyväksikäyttö on mahdollista, jos WebDAV-toiminnallisuus on päällä IIS-palvelimessa. Oletusarvoisesti WebDAV on kytkettynä pois päältä.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft IIS versiot 5.0, 5.1 ja 6.0, joissa WebDAV käytössä

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuteen ei tällä hetkellä ole saatavilla korjaavaa päivitystä.
Haavoittuvuuden vaikutusta voi rajoittaa estämällä pääsy IIS-palvelimen WebDAV-toiminnallisuuksiin ei-luotetuista verkoista. Muita haavoittuvuuden rajoitusmenetelmiä löytyy muun muassa Microsoft SRD (Security Research and Defence) -ryhmän blogiartikkelista:

http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx
http://blogs.technet.com/srd/archive/2009/05/20/answers-to-the-iis-webdav-authentication-bypass-questions.aspx

Microsoftin tarjoamat IIS Lockdown Tool ja Urlscan Filter -työkalut voivat myös rajoittaa haavoittuvuuden vaikutusta.

http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=ee41818f-3363-4e24-9940-321603531989

LISÄTIETOA:


PÄIVITYSHISTORIA:

18.5.2009, kello 9.45: Julkaistu
18.5.2009, kello 11.30: Lisätty tieto siitä, että haavoittuvuus saattaa koskea myös IIS 6.0 aiempia versioita
19.5.2009, kello 9.40: Lisätty viittaukset Microsoftin tiedotteisiin
22.5.2009, kello 16.35: Lisätty viittaukset Microsoftin tiedotteeseen ja työkaluihin.

Sivua päivitetty 22.05.2009   Tulostusversio Tulostusversio