5 de diciembre de 2016

MuyComputerPRO

Vulnerabilidad 0-day en IIS

Vulnerabilidad 0-day en IIS

Vulnerabilidad 0-day en IIS
diciembre 29
11:10 2009

El día de Navidad Microsoft fue avisada de un problema de seguridad que compete a su plataforma IIS (Internet Information Services). La vulnerabilidad fue detallada por el investigador Soroush Dalili el pasado día 25 de diciembre y la compañía de Redmond ha comentado que está investigándola. Dicho problema de seguridad sólo sucede con ciertas configuraciones de IIS, que son vulnerables al ataque mediante inyección de código.

 

La fimra de seguridad Secunia comentó que la vulnerabilidad está causada porque el servidor web “ejecuta código ASP incorrectamente incluido en un archivo con múltiples extensiones separado por ‘;’ sólo con una extensión interna ‘.asp’. ” Por ejemplo: ‘file.asp;.jpg’.

 

 

Este problema puede ser explotado potencialmente para ejecutar código ASP arbitrario vía aplicaiones de terceros que utilizan las extensiones de archivos para restringir qué archivos pueden subirse. IIS puede ejecutar cualquier extensión como Active Server Page y muchas web de subida de archivos protegen el equipo haciendo la comprobación de sólo la extensión de los archivos. Un atacante podría saltarse esta protección y subir un ejecutable peligros en el servidor.

About Author

Jesús Maturana

Jesús Maturana

Articulos relacionados

  • eduardo

    pero si window$ en si ya es arbitrario, todas las aplicaciones moco$oft son arbitrarias!! hasta cuando la gente segira usando este sistema?
    PARA SERVIDORES: APACHE SEÑORES, los demas esta lejos

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!