[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletin de Seguridad UNAM-CERT 2003-009 Buffer Overflow en Microsoft IIS 5.0 ------------------------------------------------------------------- El CERT/UNAM-CERT, a traves de sus equipos de respuesta a incidentes de Seguridad en C¾mputo, han emitido este boletin en el cual informan de un buffer overflow existente en Microsoft IIS 5.0 ejecutandose en Microsoft Windows 2000. IIS 5.0 es instalado y ejecutado de forma predeterminada en los sistemas Microsoft Windows 2000. Esta vulnerabilidad puede permitir a un intruso remoto ejecutar codigo arbitrario en la mßquina vÝctima. Un exploit esta disponible publicamente para esta vulnerabilidad, es cual aumenta la urgencia para que los Administradores apliquen la actualizaci¾n correspondiente al sistema. Fecha de Liberacion: 17 de Marzo de 2003 Ultima Revision: - - - Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ----------------- * Sistemas Ejecutando Microsoft Windows 2000 con IIS 5.0 habilitado. DESCRIPCION ----------- IIS <http://www.microsoft.com/windows2000/technologies/web/default.asp> incluye soporte para WebDAV, el cual permite a los usuarios manipular archivos almacenados en un servidor Web (RFC2518 <http://www.ietf.org/rfc/rfc2518.txt>). Una vulnerabilidad de buffer overflow existe en /ntdll.dll/ (una porci¾n de c¾digo utilizada por el componente WebDAV de IIS). Al enviar una solicitud al servidor IIS 5.0, un intruso puede ser capaz de ejecutar codigo arbitrariamente en el contexto de seguridad del Sistema Local, esencialmente dando al intruso un control completo sobre el sistema. Microsoft ha emitido el siguiente boletin concerniente a esta vulnerabilidad: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp> A esta vulnerabilidad se le ha asignado el identificador CAN-2003-0109 por el grupo CVE (Common Vulnerabilities and Exposures): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109> IMPACTO -------- Cualquier intruso que pueda llegar a un servidor de Web vulnerable puede obtener el control completo del sistema y ejecutar codigo arbitrario en el contexto de seguridad del Sistema Local. Esto puede ser significativamente mas serio que un simple "web defacement". SOLUCION -------- * Aplicar una Actualizaci¾n del Distribuidor. Una actualizacion de Microsoft esta disponible en: http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en <http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en> * Deshabilitar el Servicio Vulnerable Hasta que una actualizacion pueda ser aplicada, es posible deshabilitar IIS. Para determinar si IIS se esta ejecutando, Microsoft recomienda <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp> lo siguiente: Ir a ?Inicio | Configuraciones | Panel de Control | Herramientas Administrativas | Servicios?. Si el servicio ?World Wide Web Publishing? estß listado, entonces IIS esta instalado. Para deshabilitar IIS, se puede ejecutar la herramienta de /IIS lockdown/. Esta herramienta esta disponible en: http://www.microsoft.com/downloads/release.asp?ReleaseID=43955 <http://www.microsoft.com/downloads/release.asp?ReleaseID=43955> Si no es posible deshabilitar IIS, se debe considerar utilizar la herramienta /IIS lockdown/ para deshabilitar WebDAV (el remover WebDAV se puede especificar cuando se ejecuta la herramienta /IIS lockdown/). De forma alternativa, se puede deshabilitar WebDAV siguiendo las instrucciones localizadas en el /Knowledge Base Article 241520/, "Como deshabilitar WebDAV para IIS 5.0": http://support.microsoft.com/default.aspx?scid=kb;en-us;241520 <http://support.microsoft.com/default.aspx?scid=kb;en-us;241520> * Restringir el Tama±o del Buffer Si no se puede utilizar la herramienta /IIS lockdown/ o URLScan, de puede considerar restringir el tama±o del buffer que IIS utiliza para procesar los requerimientos utilizando la herramienta /URL Buffer Size Registry Tool/. Esta herramienta puede ser ejecutada contra un sistema Windows 2000 local o remoto ejecutando Service Pack 2 o Service Pack 3. La herramienta, las instrucciones de como utilizarla, y las instrucciones de como hacer cambios de forma manual en el Registry, esta disponible en: URL Buffer Size Registry Tool - http://go.microsoft.com/fwlink/?LinkId=14875 <http://go.microsoft.com/fwlink/?LinkId=14875> Microsoft Knowledge Base Article 816930 - http://support.microsoft.com/default.aspx?scid=kb;en-us;816930 BBB<http://support.microsoft.com/default.aspx?scid=kb;en-us;816930> Microsoft Knowledge Base Article 260694 - http://support.microsoft.com/default.aspx?scid=kb;en-us;260694 <http://support.microsoft.com/default.aspx?scid=kb;en-us;260694> Tambien se podria utilizar la herramienta /URLScan/, la cual bloquearß los requerimientos que intenten explotar esta vulnerabilidad. La informaci¾n sobre /URLScan/ esta disponible en: http://support.microsoft.com/default.aspx?scid=kb;[LN];326444 <http://support.microsoft.com/default.aspx?scid=kb;%5BLN%5D;326444> APENDICE A. Informacion de Distribuidores ----------------------------------------- Este apendice contiene informacion proporcionada por los distribuidores de este boletÝn. Si un distribuidor en particular reporta nueva informaci¾n al CERT/UNAM-CERT, esta secci¾n sera actualizada. */Microsoft Corporation <http://www.microsoft.com/>/* Consulte el boletin: Microsoft Security Bulletin MS03-007 <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp>. APENDICE B. Comunicacion con el Fabricante UNAM-CERT-Microsoft -------------------------------------------------------------- Con el fin de investigar mas acerca de esta vulnerabilidad, el UNAM-CERT se comunico con el *Equipo de Respuesta a Incidentes de Microsoft* y se indic¾ acerca de esta vulnerabilidad lo siguiente: De acuerdo con *Robert Hensing* de *Microsoft IRT*: /"At this time, the only known attack vector is through IIS 5.0 on Windows 2000 with WebDAV enabled and we are at the moment investigating other potential attack vectors so I can not comment on that part of the investigation at this time other than to say 'we are aware of the bug, and we are investigating". "For this particular exploit / attack vector we have several work-arounds for people who can't immediately deploy the patch (disable WebDAV, configure IIS to reject long URL's, install URLScan, put your web server behind some device that rejects long URL's) and we have the patch which fixes the underlying operating system vulnerability as well for the long term solution". Here are the pertinent links on our site: The Workaround KB article: http://support.microsoft.com/?kbid=816930 <http://support.microsoft.com/?kbid=816930> The MS03-007 alert which links to the patch: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp> ------------------------------------------------------------------------ El *Departamento de Seguridad en C¾mputo/UNAM-CERT* agradece el apoyo en la elaboracion, revision y traduccion de Úste boletin a: * JosÚ InÚs Gervacio Gervacio (jgervaci en seguridad unam mx <mailto:jgervaci en seguridad unam mx>). * Fernando Zaragoza Hernßndez (fzaragoz en seguridad unam mx <mailto:fzaragoz en seguridad unam mx>). * RubÚn Aquino Luna (raquino en seguridad unam mx <mailto:raquino en seguridad unam mx>). ------------------------------------------------------------------------ INFORMACION ----------- Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.cert.org/advisories/CA-2003-09.html Para mayor informacion acerca de este boletin de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 - -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 Charset: cp850 iQEVAwUBPnY+SXAvLUtwgRsVAQG6jgf/dJFCuW18PzY+sHlW5Nd9vfAjMG3AqjtL kY0IuMb+yGuBViTHX5MCri7d/QhrhORimyxn8MbHJV7gxtyykmysBVDuC3fCz4gF JqqB6zzSOw/WNXmI1N7rcAG2POjOMH1SPWGL2FFyjCB3MQM4bUcir9u7AGb+wbpZ Yq8dXmUiEk0e6GZ2HwF09imYP/9nmW03fRqFm8li1MOqvFZdmAYBjXKzxuQlACxb Y/OwniZJDSTpnv+qV/lt5/y8ohO/FWWYMCvNBDDHN0YD9ofvZwuR6eOdNWmNRO7E hBU/DL2dlrGePkJyHsAVlLIgE2olfWpfrMVfphsaM4C/e1cPECGRfg== =vm0s -----END PGP SIGNATURE----- _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/