CH azonosító
CH-3272Angol cím
Microsoft Internet Information Services Basic Authentication Security BypassFelfedezés dátuma
2010.07.01.Súlyosság
KözepesÉrintett rendszerek
Internet Information ServicesMicrosoft
Érintett verziók
Microsoft Internet Information Services 5.x
Összefoglaló
A Microsoft Internet Information Services olyan sérülékenységét jelentették, amelyet kihasználva a támadók megkerülhetnek bizonyos biztonsági korlátozásokat.
Leírás
A sérülékenységet a könyvtárak alapszintű hitelesítésének kezelésében található hiba okozza. Ezt kihasználva a hitelesítés megkerülhető, így védett könyvtárakhoz lehet hozzáférni, ha egy kérésben a könyvtár nevéhez hozzáfűzik az NTFS adatfolyam nevét és típusát (“:$i30:$INDEX_ALLOCATION”).
A sérülékenységet az 5.1. verzióban jelentették naprakész Windows XP SP3 rendszeren. Más verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com
Egyéb referencia: soroush.secproject.com
SECUNIA 40412
CVE-2010-2731 - NVD CVE-2010-2731