RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS-ALR-16082001

Patch Acumulativo para o IIS

[CAIS, 16.08.2001, revisão 01]

Resumo

Foi disponibilizado pela Microsoft um Patch Acumulativo no qual são consideradas todos os aspectos que envolvam seguranca para o IIS, servidor web da Microsoft.

Este patch possui ainda cinco novas correções que abrangem desde vulnerabilidades de negacao de servico a elevacao de privilégios nos sistemas afetados.

1. Detalhes

O patch possui todas as correções até' hoje disponibilizadas para o IIS 5.0 e as correções para o IIS 4.0 desde o lançamento do Service Pack 5.0 para o Windows NT 4.0

As cinco novas vulnerabilidades que são corrigidas pelo patch e que afetam o IIS 4.0 e IIS 5.0 seguem:

Vulnerabilidade de negação de serviço envolvendo sistemas IIS 4.0 com a opção de redirecionamento de URL. Esta vulnerabilidade é explorada pelo Worm CodeRed e mesmo máquinas com as correções aplicadas tinham o serviço do IIS indisponibilizado. Este é um efeito colateral do Worm e não está diretamente relacionada à exploração da vulnerabilidade.

Vulnerabilidade de negação de serviço envolvendo sistemas IIS 5.0 que não conseguem manipular requisições inválidas e muito longas associadas ao WebDAV. Este tipo de requisição causa a queda do IIS, que por default será reiniciado automaticamente.

Vulnerabilidade de negação de serviço envolvendo sistemas IIS 5.0 e a forma como interpreta conteudos que incluam um tipo particular e inválido de cabecalho MIME. Uma entrada deste tipo causa a parada do sistema e a conseqüente incapacidade de voltar a operar até que esta entrada seja removida da tabela de File Type.

Vulnerabilidade de buffer-overrun envolvendo o código que implementa as diretivas do tipo server-side include (SSI). Um atacante que possua a habilidade de inserir código na máquina poderá incluir uma diretiva mal formada que, quando processada, seria executada no ambiente local do sistema.

Vulnerabilidade envolvendo a elevação de privilégio em sistemas IIS 5.0 devido a uma falha em uma tabela que é consultada pelo IIS para determinar se o processo deve ser executado como 'in-process' (processos que rodam como parte do IIS) ou 'out-process'. Se explorada,
um atacante poderá eventualmente executar código arbitrário como sendo parte do IIS.

O CAIS lembra que este Patch Acumulativo elimina um problema encontrado na versão acumulativa anterior, restaurando a funcionalidade de logon UPN-style por FTP e W3SVC.

Para obter maiores informações sobre as vulnerabilidades citadas e sobre como identificar tentativas de exploração através de sistemas de detecção, seguem os nomes padrões de tais vulnerabilidades, segundo o CVE (Common Vulnerabilities and Exposures – www.cve.mitre.org), esforço conjunto que visa padronizar os nomes de vulnerabilidades públicas conhecidas.

. URL redirection denial of service: CAN-2001-0555
. WebDAV denial of service: CAN-2001-0508
. MIME header denial of service: CAN-2001-0554
. SSI privilege elevation: CAN-2001-0506
. System file listing privilege elevation: CAN-2001-0507

2. Sistemas Afetados

Os sistemas conhecidamente afetados são:

Microsoft Internet Information Server 4.0
Microsoft Internet Information Server 5.0

3. Aplicação de Correções

. Microsoft IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061

. Microsoft IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011

O CAIS recomenda fortemente que sejam aplicadas as correções citadas pois ataques DoS são freqüentemente utilizados por usuarios maldosos. O CAIS solicita cautela na aplicação das correções e lembra da importância de realizar cópias de segurança do sistema (backup) antes de quaisquer atualizações no sistema.

O boletim oficial da Microsoft tratando sobre este Patch Acumulativo pode ser acessado através da seguinte URL:

http://www.microsoft.com/technet/Security/Bulletin/ms01-044.mspx

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais