VULNERABILIDAD EN IIS CON EXTENSIONES FRONTPAGE

Microsoft ha publicado un parche para elimar una vulnerabilidad de seguridad en un componente que se incluye como parte de Internet Information Server. La vulnerabilidad puede permitir a un usuario malicioso la realización de un ataque que impida al servidor web prestar un servicio adecuado. El problema proviene de la instalación e las extensiones de servidor de FrontPage, elemento que se incluye y se instala por defecto como parte de IIS 4.0 y 5.0. Las funciones de estas extensiones permiten la administración del servidor, el control del contenido, y determinadas interacciones con el usuario. Por todo ello se emplean habitualmente para la realización de aplicaciones web, especialmente en entornos de desarrollo junto con Visual Interdev. La vulnerabilidad recae en una de las funciones proporcionadas para ayudar en el procesamiento de formularios web. Si un usuario malicioso construye una respuesta especialmente formada y la envía a un servidor afectado por el problema, podrá hacer que el servidor IIS se bloquee y deje de prestar servicio. La vulnerabilidad no proporciona la oportunidad de abusar de cualquiera de las funciones administrativas o de gesti¢n de contenido de las extensiones FrontPage. Para reponer el servidor web a su funcionamiento habitual el administrador deber  reiniciar el servicio, aunque si el servidor atacado es un IIS 5.0 el propio servicio, por defecto, se reiniciar  de forma inmediata autom ticamente. El parche publicado por Microsoft puede encontrarse en las siguientes direcciones, para IIS 5.0 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26277 y para Microsoft IIS 4.0 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26704. Aun as¡, desde Hispasec recomendamos la desinstalaci¢n de las extensiones de servidor de FrontPage en todos los servidores en los que no se empleen. Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=790 M s informaci¢n: Bolet¡n de seguridad Microsoft http://www.microsoft.com/technet/security/bulletin/ms00-100.asp Antonio Ropero antonior@hispasec.com http://www.hispasec.com