Microsoft IIS WebDav Kimlik Doğrulama Atlatma Açıklığı

Bilgi için: bilgi at bilgiguvenligi gov tr

Ana Menü

Anasayfa

Etkinlikler

Site İçerisinde Arama

Microsoft IIS WebDav Kimlik Doğrulama Atlatma Açıklığı

Microsoft IIS internet sunumcusu WebDav eklentisinde unicode karakterlerin kullanımı yoluyla kimlik doğrulama atlatma saldırısının yapılabileceği tesbit edilmiştir.

Kaynak:	SecurityFocus

Seviye:	Yüksek
Bildiri Sürümü:	1.0
Açıklanma Zamanı:	15.05.2009
Yenilenme Zamanı:	-
Etkilenen Sistemler:	Microsoft Internet Information Services 5.0 Microsoft Internet Information Services 5.1 Microsoft Internet Information Services 6.0

CVE:	CVE-2009-1535
BID:	34993
Referanslar:	http://www.microsoft.com/technet/security/advisory/971492.mspx http://milw0rm.com/sploits/2009-IIS-Advisory.pdf http://en.wikipedia.org/wiki/Internet_Information_Services http://www.microsoft.com/windowsserver2003/iis/default.mspx http://www.securityfocus.com/bid/34993/
Yazar(lar):	Nikolaos Rangos

Açıklama:	Microsoft firmasının internet tabanlı servislerini sunmak için kullanılan IIS sunumcusunda, kimlik doğrulama işleminin atlatılmasına neden olacak bir açıklık ortaya çıkarıldı. Sunumcunun WebDav eklentisi, URL içinde gönderilen unicode formatlı parametreleri olması gerektiği gibi yorumlayamaması açıklığın oluşmasına neden olmaktadır. HTTP isteklerinin içinde "Translate: f" başlığının gönderilmesi ve URL içinde unicode formatlı değerlerin eklenmesi saldırının gerçekleşmesi için yeterli olabilmektedir. Saldırı neticesinde kimlik doğrulamaya gerek kalmadan kaynaklara erişim mümkündür.
Etki:	Yetki Artırımı, Kimlik Doğrulama Atlatma
Çözüm:	Microsoft tarafından ilgili açıklık onanmakla beraber henüz herhangi bir yama yayınlanmadı.

[ Geri ]

Görüşleriniz