Un problema del web server IIS nella gestione nei caratteri Unicode consente a un attaccante di accedere alle zone dei server Web normalmente protette da password.
[ZEUS News - www.zeusnews.it - 19-05-2009]
Un bug nella versione 6 di Internet Information Services, il server Web di Microsoft, può garantire a un attaccante l'accesso alle aree di un server normalmente protette da password.
La vulnerabilità riguarda il modo in cui Iis processa i comandi basati sul protocollo WebDav e in particolare i problemi sono nella gestione dei caratteri Unicode.
Stando a quanto rivelato dallo US Computer Emergency Readiness Team, sfruttare il bug su un server vulnerabile è molto semplice. Per esempio, per accedere a un ipotetico file protetto.zip, sito nella cartella protected e teoricamente inaccessibile a chi non conosce la password, sarebbe sufficiente passare al server una stringa di questo tipo GET /..%c0%af/protected/protetto.zip HTTP/1.1 Translate: f Connection: close Host: servername.
Per Secunia il bug è "moderatamente critico"; Microsoft sta investigando sul problema alla ricerca di una soluzione.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|