[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UNAM - CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletin de Seguridad UNAM-CERT 2001-013 Vulnerabilidad en la Decodificaci'on de Caracteres en IIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El UNAM-CERT ha recibido enlas ultimas horas un incremento en una vulnerabilidad detectada que afecta a los sistemas operativos con el servicio Internet Information Services (IIS). Esta vulnerabilidad Microsoft IIS puede permitir que intrusos de forma remota puedan ejecutar comandos en un servidor WEB de IIS. Esta vulnerabilidad es similar a una vulnerabilidad anterior en IIS que fue explotado extensamente. El UNAM-CERT pone en alerta a todos los Administradores, Responsables de redes y de la Seguridad de los sistemas dentro del dominio .mx ante este tipo de Vulnerabilidades y formas de explotacion de los sistemas de Computo, con dicho sistema operativo. Fecha de Liberaci'on : 15 de Mayo de 2001 Ultima Revisi'on : 15 de Mayo de 2001 Fuente : CERT/CC y diversos Equipos de respuesta a Incidentes. , , , , , , , , , , , , * Sistemas Afectados * , , , , , , , , , , , , Todos los sistemas que ejecuten Microsoft IIS , , , , , , , , , , , , , , , * Descripci'on del Problema * , , , , , , , , , , , , , , , Los URIs pueden ser codificados segun el RFC 2396. Entre otras cosas, este RFC proporciona una codificacion para los octetos arbitrarios que usan los simbolos por ciento (%) y caracteres hexadecimales. De acuerdo con el RFC 2396: Un octeto escapado puede ser codificado como un trio de numeros o de caracters, los cuales consisten de los caracteres porciento " % " seguido por los dos digitos hexadecimales que representan el c'odigo del octeto. Por ejemplo, " %20 " es la codificaci'on escapada para el car'acter de espacio para el c'odigo correspondiente al mapa US-ASCII. escaped = "%" hex hex hex = digit | "A" | "B" | "C" | "D" | "E" | "F" Como todos los servidores del Web, Microsoft IIS decodifica la entrada de informaci'on URIs a un formato can'onico. As'i, la cadena codificada siguiente: A%20Filename%20With%20Spaces Ya decodificado se veria de la siguiente forma: Un Archivo Con Espacios Desafortunadamente, IIS decodifica algunas entradas informaci'on dos veces . Al decodificar la segunda vez del segundo es superfluo. La seguridad es verificada y se aplica a los resultados de la primera decodificacion, pero IIS utiliza los resultados de la segunda decodificaci'on. Si los resultados de la primera decodificaci'on pasan la verificaci'on de seguridad y los resultados de la segunda decodificaci'on se refieren a un archivo v'alido, entonces el acceso ser'a proporcionado al archivo incluso si 'este no lo es. Mas informaci'on al respecto se encuentra disponible en : http://www.microsoft.com/technet/security/bulletin/MS01-026.asp http://www.nsfocus.com/english/homepage/sa01-02.htm http://www.kb.cert.org/vuls/id/789543 Cabe sen~alar que esto no permite que los intrusos desv'ien las listas de control de acceso ACL's ejecutadas por los sistemas de archivos, 'unicamente la verificaci'on de la seguridad se realizar'a por IIS. Recomendamos ampliamente el configurar de forma apropiada de acuerdo a los siguientes documentos y guias de configuracion disponibles en : http://www.microsoft.com/technet/security/iis5chk.asp http://www.microsoft.com/technet/security/iischk.asp http://www.microsoft.com/technet/security/tools.asp Estas guias pueden ayudarle a reducir el dan~o al cual puede estar un sistema expuesto, y posiblemente a problemas que todav'ia no se han descubierto. Esta Vulnerabilidad fue descubierta por NSFocus . El proyecto de CVE ha asignado el identificador siguiente a esta vulnerabilidad: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0333 Esta vulnerabilidad tiene muchas semejanzas a la vulnerabilidad de Traversal del directorio de la carpeta del servidor web, que se ha explotado extensamente. Para mas informaci'on sobre esa vulnerabilidad, recomendamos consultar: http://www.kb.cert.org/vuls/id/111677 , , , , , , * Impacto * , , , , , , Los intrusos pueden ejecutar diverosos comandos de forma arbitraria con privilegios de la cuenta IUSR_Nombre-equipo , , , , , , , * Solucion * , , , , , ,, , A. Aplicar Parche correspondiente de sus distribuidores La informaci'on relativa a los parches y actualizaciones de Microsoft se encuentra disponible en: http://www.microsoft.com/technet/security/bulletin/MS01-026.asp Consejos adicionales acerca de hacer un Servidor WEB IIS Seguro se encue ntra disponible en: http://www.microsoft.com/technet/security/iis5chk.asp http://www.microsoft.com/technet/security/tools.asp - ------------------------------------ APENDICE A : Informacion Adicional - ------------------------------------ Microsoft Corporation Los documentos siguientes con respecto a esta vulnerabilidad están disponibles de Microsoft: http://www.microsoft.com/technet/security/bulletin/MS01-026.asp , , , , , , , * INFORMACION * , , , , , , , Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.cert.org/advisories/CA-2001-12.html Para mayor informaci'on acerca de este boletin contactar a: .,,,,,,,,,, ,?H1H919191919191S,. ,d1H9191919191919111119S>. ?H9H919191919191919191919111S. UNAM CERT ,H9H919H&''`"|*H9191919191919111> ,HH919H&' ` ``+1&'` ```+91919S1b Equipo de Respuesta a Incidentes UNAM iHM11191? ` ` ` `` J19HS `1919H11S .HH919191S ` 4191& J9191919> Departamento de Seguridad en Computo |MH91119111S ` ``"'` ,19191911S JMH9191919191> ` ` `+191919111 DGSCA - UNAM 1MH919H919/`' ` ` ` `*1919111- |MH9191919+` ,J$ ` ` `|919191 :MH91919$' ,1+` . ` ` `i1H911$ 9HM1919,` ,1$' |9>,.` ,19191H E-Mail : seguridad en seguridad unam mx `4MH9191:,1$' `,1b?J1191>,?,,191119H' http://www.unam-cert.unam.mx `*HM19H91S_: `91919191919191919HH' http://www.seguridad.unam.mx `|9HMH9191111>119191919H919191M+` ftp://ftp.seguridad.unam.mx `+9HMH9191919191919191919HM+' Tel : 56 22 81 69 ``*MMH9H919H919H919HMH*'` Fax : 56 22 80 43 ``*+#HMHMHMHHd*'" -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBOwHqN3AvLUtwgRsVAQGfBgf7BLymh7yQoiyBtKdOJuaFdtHlT7yH6fEu 8bjXLGFejM2PLb2YkumP6WefKrqeGGxgZw+AJtCJYpb+bjqeFkWZvB0jE9KbJUrV REOctBwpNO43sWEalblkPEfC6e3auaXWbTJ3vbZmEcCq5q+VJzCk7QxZ88RjU5Xz hkBdEVLCYXH8S8Alp+yzBlta5OQNd4mnb5SWJaEcv85hhN7gm5Jb43o6423JynJk F8YfGUWN9BGa6adzW1chcwmkMiNITWEx1PIU49yvfpaXjrvYD71qpmDKw88ke6mP cRTpKC+T5gxPJd5OM9CnIs85LxWsQPuPv616OXAgNBUHmra7LshDRg== =b41S -----END PGP SIGNATURE----- --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx