[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2003-009
Buffer Overflow en Microsoft IIS 5.0
-------------------------------------------------------------------
El CERT/UNAM-CERT, a traves de sus equipos de respuesta a
incidentes de Seguridad en C¾mputo, han emitido este boletin en el
cual informan de un buffer overflow existente en Microsoft IIS 5.0
ejecutandose en Microsoft Windows 2000. IIS 5.0 es instalado y
ejecutado de forma predeterminada en los sistemas Microsoft Windows
2000. Esta vulnerabilidad puede permitir a un intruso remoto
ejecutar codigo arbitrario en la mßquina vÝctima.
Un exploit esta disponible publicamente para esta vulnerabilidad, es
cual aumenta la urgencia para que los Administradores apliquen la
actualizaci¾n correspondiente al sistema.
Fecha de Liberacion: 17 de Marzo de 2003
Ultima Revision: - - -
Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
-----------------
* Sistemas Ejecutando Microsoft Windows 2000 con IIS 5.0
habilitado.
DESCRIPCION
-----------
IIS
<http://www.microsoft.com/windows2000/technologies/web/default.asp>
incluye soporte para WebDAV, el cual permite a los usuarios
manipular archivos almacenados en un servidor Web (RFC2518
<http://www.ietf.org/rfc/rfc2518.txt>). Una vulnerabilidad de buffer
overflow existe en /ntdll.dll/ (una porci¾n de c¾digo utilizada por
el componente WebDAV de IIS). Al enviar una solicitud al servidor
IIS 5.0, un intruso puede ser capaz de ejecutar codigo
arbitrariamente en el contexto de seguridad del Sistema Local,
esencialmente dando al intruso un control completo sobre el sistema.
Microsoft ha emitido el siguiente boletin concerniente a esta
vulnerabilidad:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp>
A esta vulnerabilidad se le ha asignado el identificador
CAN-2003-0109 por el grupo CVE (Common Vulnerabilities and Exposures):
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109>
IMPACTO
--------
Cualquier intruso que pueda llegar a un servidor de Web vulnerable
puede obtener el control completo del sistema y ejecutar codigo
arbitrario en el contexto de seguridad del Sistema Local. Esto puede
ser significativamente mas serio que un simple "web defacement".
SOLUCION
--------
* Aplicar una Actualizaci¾n del Distribuidor.
Una actualizacion de Microsoft esta disponible en:
http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en
<http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en>
* Deshabilitar el Servicio Vulnerable
Hasta que una actualizacion pueda ser aplicada, es posible
deshabilitar IIS. Para determinar si IIS se esta ejecutando,
Microsoft recomienda
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp>
lo siguiente:
Ir a ?Inicio | Configuraciones | Panel de Control | Herramientas
Administrativas | Servicios?. Si el servicio ?World Wide Web
Publishing? estß listado, entonces IIS esta instalado.
Para deshabilitar IIS, se puede ejecutar la herramienta de /IIS
lockdown/. Esta herramienta esta disponible en:
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
<http://www.microsoft.com/downloads/release.asp?ReleaseID=43955>
Si no es posible deshabilitar IIS, se debe considerar utilizar la
herramienta /IIS lockdown/ para deshabilitar WebDAV (el remover
WebDAV se puede especificar cuando se ejecuta la herramienta /IIS
lockdown/). De forma alternativa, se puede deshabilitar WebDAV
siguiendo las instrucciones localizadas en el /Knowledge Base
Article 241520/, "Como deshabilitar WebDAV para IIS 5.0":
http://support.microsoft.com/default.aspx?scid=kb;en-us;241520
<http://support.microsoft.com/default.aspx?scid=kb;en-us;241520>
* Restringir el Tama±o del Buffer
Si no se puede utilizar la herramienta /IIS lockdown/ o URLScan, de
puede considerar restringir el tama±o del buffer que IIS utiliza
para procesar los requerimientos utilizando la herramienta /URL
Buffer Size Registry Tool/. Esta herramienta puede ser ejecutada
contra un sistema Windows 2000 local o remoto ejecutando Service
Pack 2 o Service Pack 3. La herramienta, las instrucciones de como
utilizarla, y las instrucciones de como hacer cambios de forma
manual en el Registry, esta disponible en:
URL Buffer Size Registry Tool -
http://go.microsoft.com/fwlink/?LinkId=14875
<http://go.microsoft.com/fwlink/?LinkId=14875>
Microsoft Knowledge Base Article 816930 -
http://support.microsoft.com/default.aspx?scid=kb;en-us;816930
BBB<http://support.microsoft.com/default.aspx?scid=kb;en-us;816930>
Microsoft Knowledge Base Article 260694 -
http://support.microsoft.com/default.aspx?scid=kb;en-us;260694
<http://support.microsoft.com/default.aspx?scid=kb;en-us;260694>
Tambien se podria utilizar la herramienta /URLScan/, la cual
bloquearß los requerimientos que intenten explotar esta
vulnerabilidad. La informaci¾n sobre /URLScan/ esta disponible en:
http://support.microsoft.com/default.aspx?scid=kb;[LN];326444
<http://support.microsoft.com/default.aspx?scid=kb;%5BLN%5D;326444>
APENDICE A. Informacion de Distribuidores
-----------------------------------------
Este apendice contiene informacion proporcionada por los
distribuidores de este boletÝn. Si un distribuidor en particular
reporta nueva informaci¾n al CERT/UNAM-CERT, esta secci¾n sera
actualizada.
*/Microsoft Corporation <http://www.microsoft.com/>/*
Consulte el boletin:
Microsoft Security Bulletin MS03-007
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-007.asp>.
APENDICE B. Comunicacion con el Fabricante UNAM-CERT-Microsoft
--------------------------------------------------------------
Con el fin de investigar mas acerca de esta vulnerabilidad, el
UNAM-CERT se comunico con el *Equipo de Respuesta a Incidentes de
Microsoft* y se indic¾ acerca de esta vulnerabilidad lo siguiente:
De acuerdo con *Robert Hensing* de *Microsoft IRT*:
/"At this time, the only known attack vector is through IIS 5.0 on
Windows 2000 with WebDAV enabled and we are at the moment
investigating other potential attack vectors so I can not comment on
that part of the investigation at this time other than to say 'we
are aware of the bug, and we are investigating".
"For this particular exploit / attack vector we have several
work-arounds for people who can't immediately deploy the patch
(disable WebDAV, configure IIS to reject long URL's, install
URLScan, put your web server behind some device that rejects long
URL's) and we have the patch which fixes the underlying operating
system vulnerability as well for the long term solution".
Here are the pertinent links on our site:
The Workaround KB article:
http://support.microsoft.com/?kbid=816930
<http://support.microsoft.com/?kbid=816930>
The MS03-007 alert which links to the patch:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp>
------------------------------------------------------------------------
El *Departamento de Seguridad en C¾mputo/UNAM-CERT* agradece el
apoyo en la elaboracion, revision y traduccion de Úste boletin a:
* JosÚ InÚs Gervacio Gervacio (jgervaci en seguridad unam mx
<mailto:jgervaci en seguridad unam mx>).
* Fernando Zaragoza Hernßndez (fzaragoz en seguridad unam mx
<mailto:fzaragoz en seguridad unam mx>).
* RubÚn Aquino Luna (raquino en seguridad unam mx
<mailto:raquino en seguridad unam mx>).
------------------------------------------------------------------------
INFORMACION
-----------
Este documento se encuentra disponible en su formato original en la
siguiente direccion:
http://www.cert.org/advisories/CA-2003-09.html
Para mayor informacion acerca de este boletin de seguridad
contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
Charset: cp850
iQEVAwUBPnY+SXAvLUtwgRsVAQG6jgf/dJFCuW18PzY+sHlW5Nd9vfAjMG3AqjtL
kY0IuMb+yGuBViTHX5MCri7d/QhrhORimyxn8MbHJV7gxtyykmysBVDuC3fCz4gF
JqqB6zzSOw/WNXmI1N7rcAG2POjOMH1SPWGL2FFyjCB3MQM4bUcir9u7AGb+wbpZ
Yq8dXmUiEk0e6GZ2HwF09imYP/9nmW03fRqFm8li1MOqvFZdmAYBjXKzxuQlACxb
Y/OwniZJDSTpnv+qV/lt5/y8ohO/FWWYMCvNBDDHN0YD9ofvZwuR6eOdNWmNRO7E
hBU/DL2dlrGePkJyHsAVlLIgE2olfWpfrMVfphsaM4C/e1cPECGRfg==
=vm0s
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html