[Ayuda] Boletin UNAM-CERT 2003-009 "Buffer Overflow en Microsoft IIS 5.0"

To: unam-cert en seguridad unam mx
Subject: [Ayuda] Boletin UNAM-CERT 2003-009 "Buffer Overflow en Microsoft IIS 5.0"
From: UNAM-CERT <unam-cert en seguridad unam mx>
Date: Mon, 17 Mar 2003 15:29:30 -0600 (CST)
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Sender: ayuda-admin en linux org mx
-----BEGIN PGP SIGNED MESSAGE-----

     ------------------------------------------------------------------
                                 UNAM-CERT

                    Departamento de Seguridad en Computo

                                DGSCA- UNAM

                   Boletin de Seguridad UNAM-CERT 2003-009

	 	   Buffer Overflow en Microsoft IIS 5.0
     -------------------------------------------------------------------

    El CERT/UNAM-CERT, a traves de sus equipos de respuesta a
    incidentes de Seguridad en C�mputo, han emitido este boletin en el
    cual informan de un buffer overflow existente en Microsoft IIS 5.0
    ejecutandose en Microsoft Windows 2000. IIS 5.0 es instalado y
    ejecutado de forma predeterminada en los sistemas Microsoft Windows
    2000. Esta vulnerabilidad puede permitir a un intruso remoto
    ejecutar codigo arbitrario en la m�quina v�ctima.

    Un exploit esta disponible publicamente para esta vulnerabilidad, es
    cual aumenta la urgencia para que los Administradores apliquen la
    actualizaci�n correspondiente al sistema.


    Fecha de Liberacion: 17 de Marzo de 2003
    Ultima Revision:  - - - 
    Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a
    Incidentes.


    SISTEMAS AFECTADOS
    -----------------

        * Sistemas Ejecutando Microsoft Windows 2000 con IIS 5.0
          habilitado. 


    DESCRIPCION
    -----------

    IIS
    <http://www.microsoft.com/windows2000/technologies/web/default.asp>
    incluye soporte para WebDAV, el cual permite a los usuarios
    manipular archivos almacenados en un servidor Web (RFC2518
    <http://www.ietf.org/rfc/rfc2518.txt>). Una vulnerabilidad de buffer
    overflow existe en /ntdll.dll/ (una porci�n de c�digo utilizada por
    el componente WebDAV de IIS). Al enviar una solicitud al servidor
    IIS 5.0, un intruso puede ser capaz de ejecutar codigo
    arbitrariamente en el contexto de seguridad del Sistema Local,
    esencialmente dando al intruso un control completo sobre el sistema.

    Microsoft ha emitido el siguiente boletin concerniente a esta
    vulnerabilidad:

    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp
    <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp>


    A esta vulnerabilidad se le ha asignado el identificador
    CAN-2003-0109 por el grupo CVE (Common Vulnerabilities and Exposures):

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109
    <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109>


    IMPACTO
    --------

    Cualquier intruso que pueda llegar a un servidor de Web vulnerable
    puede obtener el control completo del sistema y ejecutar codigo
    arbitrario en el contexto de seguridad del Sistema Local. Esto puede
    ser significativamente mas serio que un simple "web defacement".


    SOLUCION
    --------

    * Aplicar una Actualizaci�n del Distribuidor.

    Una actualizacion de Microsoft esta disponible en:

        http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en
        <http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en>

    * Deshabilitar el Servicio Vulnerable

    Hasta que una actualizacion pueda ser aplicada, es posible
    deshabilitar IIS. Para determinar si IIS se esta ejecutando,
    Microsoft recomienda
    <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp>
    lo siguiente:

    Ir a ?Inicio | Configuraciones | Panel de Control | Herramientas
    Administrativas | Servicios?. Si el servicio ?World Wide Web
    Publishing? est� listado, entonces IIS esta instalado.

    Para deshabilitar IIS, se puede ejecutar la herramienta de /IIS
    lockdown/. Esta herramienta esta disponible en:
    http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
    <http://www.microsoft.com/downloads/release.asp?ReleaseID=43955>

    Si no es posible deshabilitar IIS, se debe considerar utilizar la
    herramienta /IIS lockdown/ para deshabilitar WebDAV (el remover
    WebDAV se puede especificar cuando se ejecuta la herramienta /IIS
    lockdown/). De forma alternativa, se puede deshabilitar WebDAV
    siguiendo las instrucciones localizadas en el /Knowledge Base
    Article 241520/, "Como deshabilitar WebDAV para IIS 5.0":

    http://support.microsoft.com/default.aspx?scid=kb;en-us;241520
    <http://support.microsoft.com/default.aspx?scid=kb;en-us;241520>


    * Restringir el Tama�o del Buffer

    Si no se puede utilizar la herramienta /IIS lockdown/ o URLScan, de
    puede considerar restringir el tama�o del buffer que IIS utiliza
    para procesar los requerimientos utilizando la herramienta /URL
    Buffer Size Registry Tool/. Esta herramienta puede ser ejecutada
    contra un sistema Windows 2000 local o remoto ejecutando Service
    Pack 2 o Service Pack 3. La herramienta, las instrucciones de como
    utilizarla, y las instrucciones de como hacer cambios de forma
    manual en el Registry, esta disponible en:

    URL Buffer Size Registry Tool -
    http://go.microsoft.com/fwlink/?LinkId=14875
    <http://go.microsoft.com/fwlink/?LinkId=14875>
    
    Microsoft Knowledge Base Article 816930 -
    http://support.microsoft.com/default.aspx?scid=kb;en-us;816930
    BBB<http://support.microsoft.com/default.aspx?scid=kb;en-us;816930>
    
    Microsoft Knowledge Base Article 260694 -
    http://support.microsoft.com/default.aspx?scid=kb;en-us;260694
    <http://support.microsoft.com/default.aspx?scid=kb;en-us;260694>

    Tambien se podria utilizar la herramienta /URLScan/, la cual
    bloquear� los requerimientos que intenten explotar esta
    vulnerabilidad. La informaci�n sobre /URLScan/ esta disponible en:

    http://support.microsoft.com/default.aspx?scid=kb;[LN];326444
    <http://support.microsoft.com/default.aspx?scid=kb;%5BLN%5D;326444>


    APENDICE A. Informacion de Distribuidores
    -----------------------------------------

    Este apendice contiene informacion proporcionada por los
    distribuidores de este bolet�n. Si un distribuidor en particular
    reporta nueva informaci�n al CERT/UNAM-CERT, esta secci�n sera
    actualizada.


    */Microsoft Corporation <http://www.microsoft.com/>/*

        Consulte el boletin:

            Microsoft Security Bulletin MS03-007
            <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp>.


    APENDICE B. Comunicacion con el Fabricante UNAM-CERT-Microsoft 
    --------------------------------------------------------------

    Con el fin de investigar mas acerca de esta vulnerabilidad, el
    UNAM-CERT se comunico con el *Equipo de Respuesta a Incidentes de
    Microsoft* y se indic� acerca de esta vulnerabilidad lo siguiente:

    De acuerdo con *Robert Hensing* de *Microsoft IRT*:

    /"At this time, the only known attack vector is through IIS 5.0 on
    Windows 2000 with WebDAV enabled and we are at the moment
    investigating other potential attack vectors so I can not comment on
    that part of the investigation at this time other than to say 'we
    are aware of the bug, and we are investigating".

    "For this particular exploit / attack vector we have several
    work-arounds for people who can't immediately deploy the patch
    (disable WebDAV, configure IIS to reject long URL's, install
    URLScan, put your web server behind some device that rejects long
    URL's) and we have the patch which fixes the underlying operating
    system vulnerability as well for the long term solution".

    Here are the pertinent links on our site:

    The Workaround KB article:

    http://support.microsoft.com/?kbid=816930
    <http://support.microsoft.com/?kbid=816930>

    The MS03-007 alert which links to the patch:

    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp
    <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp>
    
    ------------------------------------------------------------------------

    El *Departamento de Seguridad en C�mputo/UNAM-CERT* agradece el
    apoyo en la elaboracion, revision y traduccion de �ste boletin a: 

        * Jos� In�s Gervacio Gervacio (jgervaci en seguridad unam mx
          <mailto:jgervaci en seguridad unam mx>).
          
        * Fernando Zaragoza Hern�ndez (fzaragoz en seguridad unam mx
          <mailto:fzaragoz en seguridad unam mx>).
          
        * Rub�n Aquino Luna (raquino en seguridad unam mx
          <mailto:raquino en seguridad unam mx>).

    ------------------------------------------------------------------------


    INFORMACION
    -----------

    Este documento se encuentra disponible en su formato original en la
    siguiente direccion:

        http://www.cert.org/advisories/CA-2003-09.html 


    Para mayor informacion acerca de este boletin de seguridad
    contactar a: 

                               UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Computo
                                DGSCA - UNAM
                    E-Mail : seguridad en seguridad unam mx
                        http://www.unam-cert.unam.mx
                        http://www.seguridad.unam.mx
                        ftp://ftp.seguridad.unam.mx
                             Tel : 56 22 81 69
                             Fax : 56 22 80 43

- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM                     E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U.        Tel.: 5622-81-69  Fax: 5622-80-43
Del. Coyoacan                   WWW: http://www.seguridad.unam.mx
04510 Mexico D. F.              WWW: http://www.unam-cert.unam.mx


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
Charset: cp850

iQEVAwUBPnY+SXAvLUtwgRsVAQG6jgf/dJFCuW18PzY+sHlW5Nd9vfAjMG3AqjtL
kY0IuMb+yGuBViTHX5MCri7d/QhrhORimyxn8MbHJV7gxtyykmysBVDuC3fCz4gF
JqqB6zzSOw/WNXmI1N7rcAG2POjOMH1SPWGL2FFyjCB3MQM4bUcir9u7AGb+wbpZ
Yq8dXmUiEk0e6GZ2HwF09imYP/9nmW03fRqFm8li1MOqvFZdmAYBjXKzxuQlACxb
Y/OwniZJDSTpnv+qV/lt5/y8ohO/FWWYMCvNBDDHN0YD9ofvZwuR6eOdNWmNRO7E
hBU/DL2dlrGePkJyHsAVlLIgE2olfWpfrMVfphsaM4C/e1cPECGRfg==
=vm0s
-----END PGP SIGNATURE-----


_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/
Previo por Fecha: [Ayuda] acentos en Red Hat 8.0
Siguiente por Fecha: [Ayuda] help
Previo por Hilo: [Ayuda] acentos en Red Hat 8.0
Siguiente por Hilo: [Ayuda] help
[Hilos de Discusión] [Fecha] [Tema] [Autor]