Microsoft publica instrucciones para jaquear IIS 5

Enviado por admin el 7. Junio 2007 - 16:30.

Según informa hoy Heise, un artículo de Microsoft sobre una vulnerabilidad en su servidor de Internet IIS 5.0 ha incluido una explicación sobre cómo reproducir el problema, lo que podría constituir toda una guía para explotar la vulnerabilidad, para la que no existe parche y ante la cual Microsoft recomienda la actualización a IIS 6.0, lo que requiere en muchos casos invertir en una actualización de Windows 2000/XP a Windows Server 2003.

Microsoft parece haber intentado rectificar borrando el punto sexto de su artículo original, pero según Heise ha llegado tarde, por cuanto la información continuaría accesible mediante la caché de Google...

 

MÁS INFORMACIÓN:

>> Microsoft publishes guide to hacking IIS 5.0 [Heise Security].

>> IIS 5.0 authentication bypass exploit -- CVE-2007-2815 [SANS].

>> KB-328832: Hit-highlighting does not rely on IIS authentication [Microsoft].

>> Microsoft Internet Information Server Hit Highlighting Authentication Bypass Vulnerability [Security Focus].

 

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

ummm

Enviado por anónimo el 7. Junio 2007 - 16:57.

Quizas microsoft penso que era un buena forma de hacer que los indefensos servidores que corren en Xp/2000 necesitaban un empujoncito para cambiar de SO....

Migración obligatoria

Enviado por anónimo el 8. Junio 2007 - 15:27.

Yo pienso igual. Maniobra para dejar inútil al XP/2000 que tanto daño les está haciendo con el Vista.

Pero de todos modos, que se pasen a Apache... y en paz.

Mejor dicho: que se pasen a GNU/Linux.

O quizá...

Enviado por anónimo el 7. Junio 2007 - 17:43.

... el momento de poner una demanda por prácticas abusivas si mantienes un servidor corriendo XP/2000.

O de pasar a apache

Enviado por anónimo el 7. Junio 2007 - 19:14.

así es como se gana las habichuelas M$, si su producto no es tan bueno como para que te gastes los dineros en actualizarlo usan otras técnicas, ale todos para apache que allí no pasan esas cosas :)

bueno y donde esta

Enviado por anónimo el 8. Junio 2007 - 7:35.

bueno y donde esta dicho documento?

Win XP SP2 sin problemas

Enviado por AlfaMikeDelta el 8. Junio 2007 - 17:35.

Tengo corriendo un Windows XP con IIS 5.1 y probé el exploit y no funciona.

Según estuve leyendo, parece que el problema reside en archivos que maneja el servicio de indexación (que actualmente tengo desactivado).

Por esto, al intentar acceder a un archivo protegido con los métodos que se describen el los artículos de "MAS INFORMACION", recibo simplemente el mensaje "Error 404 - File not found".

(Ver: http://www.securityfocus.com/bid/24105/exploit)

Saludos!

No sean weyes

Enviado por anónimo el 10. Junio 2007 - 2:24.

No sean weyes, Microsoft usa FreeBSD, NetBSD y OpenBSD ya le echaron un Fingerprinting a su OS? Ellos nos venden mierda.

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
2 + 10 =
Resuelve esta sencilla operación e introduce el resultado.