Fallo de autenticación de WebDav en IIS6

Posted by Moyo in Tuesday, May 19th 2009   under: Object    Tags: archivo-mensual, include-name, Internet, loop-values, phishing, segu-info, seguridad, tutorial   

Kcope ha publicado hoy una nota de seguridad crítica que afecta a servidores web Internet Information Server en su versión 6 (IIS6) con el módulo de WebDav instalado.

El fallo es muy similar a otros anteriores. La validación por parte del servicio de caracteres Unicode se ejecuta de forma incorrecta, permitiendo saltarse la autenticación y por lo tanto, la lectura y escritura de ficheros en el sistema.

Para reproducir el problema, hemos descargado (warez!) una máquina virtual de Windows 2003 y ejecutado en un entorno VMWare. Tras instalar IIS6 y activar el módulo de Webdav sobre un directorio con ficheros, procedemos a probar la vulnerabilidad, que es tan sencilla como añadir los caracteres “/..af/” antes de la petición:

Se solicita de forma normal el archivo “test.txt” que contiene la cadena “prueba”.

Contenido completo en SbD

View original here:
Fallo de autenticación de WebDav en IIS6 |

no comment

Be First To Comment

Related Post

Leave Your Comments Below

Please Note: All comments will be hand modified by our authors so any over offensive comments will be removed and your submitted comments will be appreared after approved

«
»

  • 1 1 1 1 teliad - el mercado para los enlaces de texto 1 1
    LinkLift
SEO Powered by Platinum SEO from Techblissonline