Según informa hoy Heise, un artículo de Microsoft sobre una vulnerabilidad en su servidor de Internet IIS 5.0 ha incluido una explicación sobre cómo reproducir el problema, lo que podría constituir toda una guía para explotar la vulnerabilidad, para la que no existe parche y ante la cual Microsoft recomienda la actualización a IIS 6.0, lo que requiere en muchos casos invertir en una actualización de Windows 2000/XP a Windows Server 2003.
Microsoft parece haber intentado rectificar borrando el punto sexto de su artículo original, pero según Heise ha llegado tarde, por cuanto la información continuaría accesible mediante la caché de Google...
MÁS INFORMACIÓN:
>> Microsoft publishes guide to hacking IIS 5.0 [Heise Security].
>> IIS 5.0 authentication bypass exploit -- CVE-2007-2815 [SANS].
>> KB-328832: Hit-highlighting does not rely on IIS authentication [Microsoft].
>> Microsoft Internet Information Server Hit Highlighting Authentication Bypass Vulnerability [Security Focus].
Fuente: Kriptópolis
0 comentarios:
Publicar un comentario