Boletin UNAM-CERT-2001-013

To: gasu en seguridad unam mx
Subject: Boletin UNAM-CERT-2001-013
From: Seguridad en Computo - UNAM <seguridad en seguridad unam mx>
Date: Tue, 15 May 2001 21:47:06 -0500 (CDT)
Sender: owner-ayuda en pepe net mx
-----BEGIN PGP SIGNED MESSAGE-----

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                            UNAM - CERT

                 Departamento de Seguridad en Computo
 
                           DGSCA- UNAM
 
                Boletin de Seguridad UNAM-CERT 2001-013

          Vulnerabilidad en la Decodificaci'on de Caracteres en IIS
 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


El UNAM-CERT ha recibido enlas ultimas horas un incremento en una vulnerabilidad detectada  que afecta a los sistemas operativos con el servicio Internet Information Services (IIS). Esta vulnerabilidad Microsoft IIS puede permitir que intrusos de forma remota puedan ejecutar comandos en un servidor WEB de IIS. Esta vulnerabilidad es similar a una vulnerabilidad anterior en IIS que fue explotado extensamente.

El UNAM-CERT pone en alerta a todos los Administradores, Responsables de redes y de la Seguridad de los sistemas dentro del dominio .mx ante este tipo de Vulnerabilidades y formas de explotacion de los sistemas de Computo, con dicho sistema operativo.

Fecha de Liberaci'on : 15 de Mayo de 2001
Ultima Revisi'on     : 15 de Mayo de 2001
Fuente               : CERT/CC y diversos Equipos de respuesta a Incidentes.


, , , , , , , , , , , , 
* Sistemas Afectados  *
, , , , , , , , , , , , 
 

Todos los sistemas que ejecuten Microsoft IIS

, , , , , , , , , , , , , , , 
* Descripci'on del Problema *
, , , , , , , , , , , , , , , 


Los URIs pueden ser codificados segun el RFC 2396. Entre otras cosas, este RFC proporciona una codificacion para los octetos arbitrarios que usan los simbolos por ciento (%) y caracteres hexadecimales.

De acuerdo con el  RFC 2396:

Un octeto escapado puede ser codificado como un trio de numeros o de caracters, los cuales consisten de los caracteres porciento " % " seguido por los dos digitos hexadecimales que representan el c'odigo del octeto. Por ejemplo, " %20 " es la codificaci'on escapada para el car'acter de espacio para el c'odigo correspondiente al mapa US-ASCII.

escaped = "%" hex hex
hex = digit | "A" | "B" | "C" | "D" | "E" | "F"

Como todos los servidores del Web, Microsoft IIS decodifica la entrada de informaci'on URIs a un formato can'onico. As'i, la cadena codificada siguiente:

		A%20Filename%20With%20Spaces

Ya decodificado se veria de la siguiente forma:

		Un Archivo Con Espacios

Desafortunadamente, IIS decodifica algunas entradas informaci'on dos veces . Al decodificar la segunda vez del segundo es superfluo. La seguridad es verificada y se aplica a los resultados de la primera decodificacion, pero IIS utiliza los resultados de la segunda decodificaci'on. Si los resultados de la primera decodificaci'on pasan la verificaci'on de seguridad y los resultados de la segunda decodificaci'on se refieren a un archivo v'alido, entonces el acceso ser'a proporcionado al archivo incluso si 'este no lo es. Mas informaci'on al respecto se encuentra disponible en :

		http://www.microsoft.com/technet/security/bulletin/MS01-026.asp
		http://www.nsfocus.com/english/homepage/sa01-02.htm
		http://www.kb.cert.org/vuls/id/789543

Cabe sen~alar que esto no permite que los intrusos desv'ien las listas de control de acceso ACL's ejecutadas por los sistemas de archivos, 'unicamente la verificaci'on de la seguridad se realizar'a por IIS.

Recomendamos ampliamente el configurar de forma apropiada de acuerdo a los siguientes documentos y guias de configuracion disponibles en :

		http://www.microsoft.com/technet/security/iis5chk.asp
		http://www.microsoft.com/technet/security/iischk.asp
		http://www.microsoft.com/technet/security/tools.asp

Estas guias pueden ayudarle a reducir el dan~o al cual puede estar un sistema expuesto, y posiblemente a problemas que todav'ia no se han descubierto.

Esta Vulnerabilidad fue descubierta por NSFocus .

El proyecto de CVE ha asignado el identificador siguiente a esta vulnerabilidad:

		http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0333

Esta vulnerabilidad tiene muchas semejanzas a la vulnerabilidad de Traversal del directorio de la carpeta del servidor web, que se ha explotado extensamente. Para mas informaci'on sobre esa vulnerabilidad, recomendamos consultar:

		http://www.kb.cert.org/vuls/id/111677


, , , , , , 
*  Impacto *
, , , , , , 

Los intrusos pueden ejecutar diverosos comandos de forma arbitraria con privilegios de la cuenta IUSR_Nombre-equipo


, , , , , , ,
*  Solucion  *
, , , , , ,, ,

	A. Aplicar Parche correspondiente de sus distribuidores

	La informaci'on relativa a los parches y actualizaciones de Microsoft se 	encuentra disponible en:

	http://www.microsoft.com/technet/security/bulletin/MS01-026.asp

	Consejos adicionales acerca de hacer un Servidor WEB IIS Seguro se encue	ntra disponible en:
	
		http://www.microsoft.com/technet/security/iis5chk.asp
		http://www.microsoft.com/technet/security/tools.asp


- ------------------------------------
 APENDICE A : Informacion Adicional 
- ------------------------------------

Microsoft Corporation

Los documentos siguientes con respecto a esta vulnerabilidad est�n disponibles de Microsoft:


		http://www.microsoft.com/technet/security/bulletin/MS01-026.asp


 , , , , , , ,
 * INFORMACION *
 , , , , , , ,

Este documento se encuentra disponible en su formato original en la siguiente direccion:

		http://www.cert.org/advisories/CA-2001-12.html

Para mayor informaci'on acerca de este boletin contactar a:


              .,,,,,,,,,,
          ,?H1H919191919191S,.
       ,d1H9191919191919111119S>.
     ?H9H919191919191919191919111S.                  UNAM CERT
   ,H9H919H&''`"|*H9191919191919111>
  ,HH919H&'  `   ``+1&'` ```+91919S1b     Equipo de Respuesta a Incidentes UNAM 
 iHM11191? ` ` `   ``  J19HS `1919H11S              
.HH919191S   `         4191&  J9191919>   Departamento de Seguridad en Computo
|MH91119111S       `   ``"'` ,19191911S
JMH9191919191>         ` `  `+191919111             DGSCA - UNAM 
1MH919H919/`'  `       `   `  `*1919111-
|MH9191919+`   ,J$   `       ` `|919191 
:MH91919$'    ,1+`   . `   `   `i1H911$    
 9HM1919,`  ,1$'    |9>,.`     ,19191H     E-Mail : seguridad en seguridad unam mx
 `4MH9191:,1$' `,1b?J1191>,?,,191119H'     http://www.unam-cert.unam.mx
  `*HM19H91S_:  `91919191919191919HH'      http://www.seguridad.unam.mx
   `|9HMH9191111>119191919H919191M+`       ftp://ftp.seguridad.unam.mx
     `+9HMH9191919191919191919HM+'         Tel : 56 22 81 69
       ``*MMH9H919H919H919HMH*'`           Fax : 56 22 80 43
           ``*+#HMHMHMHHd*'"


-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBOwHqN3AvLUtwgRsVAQGfBgf7BLymh7yQoiyBtKdOJuaFdtHlT7yH6fEu
8bjXLGFejM2PLb2YkumP6WefKrqeGGxgZw+AJtCJYpb+bjqeFkWZvB0jE9KbJUrV
REOctBwpNO43sWEalblkPEfC6e3auaXWbTJ3vbZmEcCq5q+VJzCk7QxZ88RjU5Xz
hkBdEVLCYXH8S8Alp+yzBlta5OQNd4mnb5SWJaEcv85hhN7gm5Jb43o6423JynJk
F8YfGUWN9BGa6adzW1chcwmkMiNITWEx1PIU49yvfpaXjrvYD71qpmDKw88ke6mP
cRTpKC+T5gxPJd5OM9CnIs85LxWsQPuPv616OXAgNBUHmra7LshDRg==
=b41S
-----END PGP SIGNATURE-----


---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux org mx
Previo por Fecha: Re: impresora hp lj4100n
Siguiente por Fecha: [no subject]
Previo por Hilo: Boletin UNAM-CERT-2001-012
Siguiente por Hilo: [no subject]
[Hilos de Discusión] [Fecha] [Tema] [Autor]