Błąd w Microsoft IIS 5

Author: \ maj 19, 2001 \ Aktualności \ 0 komenarzy

Defcom Labs, ogłosiło kolejny słaby punkt w Microsoft Internet Information Server 5.0. Podatne są wszystkie wersje Windows 2000 (httpext.dll) oprócz W2K SP2 (0.9.3940.21).

Usterka w rozszerzeniach WebDav pozwalają na atak DoS, przez nagłe żądania nieistniejących plików metodą HTTP LOCK.

Przykład: LOCK /aaaaaaaaaaaaaaaaaa.htw HTTP/1.0

Prowadzi to do konsumowania coraz większych zasobów pamięci i coraz wolniejszego działania systemu. Przy odpowiednim działaniu, atakujący może teraz doprowadzić do załamania hosta i jego restartu. Jedną z takich rzeczy może być połączenie powyższego ataku z wywołaniami asp.

Przykład: GET /iisstart.asp?uc=a HTTP/1.0
(wymaga to obecności iisstart.asp, ale to tylko jedno z rozwiązań).

Problem naprawiono dopiero w httpext.dll wersjii .0.9.3940.21.
SP2 można pobrać z bazy Microsoftu

Powiązane posty

Awaria systemu informatycznego Eurobanku

czerwiec 1, 2005

60 mld e-maili dziennie

wrzesień 30, 2002

Ataki w cyberprzestrzeni

lipiec 26, 2001

©2016 - Hacking.pl. Wszystkie prawa zastrzeżone ;-)