Alvorlig sårbarhet i Microsofts webserver

Kan gi fri tilgang til passordbeskyttede filmapper

Microsoft melder på denne siden at selskapet har registrert offentlige rapporter om en mulig sårbarhet i selskapet webserverprogramvare, Internet Information Services (IIS). Sårbarheten skal finnes i versjon 5.x og 6.0 av produktet, men ikke i versjon 7.0.

Sårbarheten skal skyldes en feil i måten WebDAV-utvidelsen (Web-based Distributed Authoring and Versioning) av IISS håndterer HTTP-spørringer på. En angriper kan utnytte sårbarheten ved å ta i bruk en spesielt utformet, anonym HTTP-spørring for å få tilgang til områder på serveren som typisk vil kreve autentisering. Tilgangen vil likevel begrenses av filsystemets ACL (Access control list).

En angriper vil kunne utnytte sårbarheten til å liste, laste ned, laste opp eller modifisere filene som er tilgjengelige på serveren.

Inntil en sikkerhetsfiks er klar, anbefaler Microsoft serveradministratorer om å skru av støtten for WebDAV, alternativt å sikre at filene ikke er tilgjengelige for anonyme brukere gjennom WebDAV.

Til toppen