Microsoft publica un parche para evitar un problema en Internet Information Server por el que bajo condiciones muy raras podía provocar que el servidor enviara el código fuente de páginas ASP.
El problema se da en condiciones muy poco habituales. Si un directorio virtual en un servidor IIS está mapeado sobre una unidad compartida, y una petición de un archivo en ese directorio termina con uno o varios caracteres particulares, el procesamiento de la extensión ISAPI no se lleva a cabo. Lo que provoca que se envíe el código fuente del archivo solicitado al navegador.
Como explica Microsoft existen significantes restricciones que incrementan la dificultad de explotar esta vulnerabilidad. Por diseño, los directorios virtuales esconden la localización actual de los archivos, en la mayoría de ocasiones un atacante no puede determinar los archivos de un servidor que residen en una unidad compartida.
Por otra parte, muchos navegadores corrigen las peticiones que contienen los caracteres que causan el problema, bien eliminando dichos caracteres o modific ndolos.
Las pr cticas de seguridad recomiendan que los programadores no incluyan ninguna informaci¢n relevante en el c¢digo fuente de las p ginas web (html, asp o similares). Pero, en ocasiones se incluye informaci¢n como passwords en los archivos con el objeto de personalizar o proteger el contenido que generan las p ginas. Por este motivo, si el c¢digo fuente de la p gina, se envia al navegador este puede proporcionar a un atacante valiosa informaci¢n para comprometer la seguridad del sitio web.
La vulnerabilidad s¢lo ocurre cuando se realiza una petici¢n a un archivo en una unidad compartida empleando la nomenclatura UNC (Universal Naming Convention), es decir, de la forma Maquina1directorio. Esto es, la vulnerabilidad s¢lo existe si el archivo solicitado no reside en el servidor web, sino que se aloja en otra m quina de la red a la cual tiene acceso el servidor. Esto quiere deicr que los servidores que s¢lo sirven archivos almacenados localmente no se ven afectados por esta vulnerabilidad.
M s informaci¢n:
Bolet¡n de seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms00-019.asp
Preguntas y respuestas de Microsoft sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-019.asp
Parche para Internet Information Server 4.0:
http://www.microsoft.com/downloads/release.asp?ReleaseID=18900
Parche para Internet Information Server 5.0
http://www.microsoft.com/downloads/release.asp?ReleaseID=19982
Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1081
Antonio Ropero
antonior@hispasec.com
