Отказ в обслуживании в Microsoft IIS

Дата публикации:
19.12.2005
Дата изменения:
19.12.2005
Всего просмотров:
2889
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Microsoft IIS 5.1

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании приложения.

Уязвимость существует при обработке URL. Удаленный пользователь может послать Web серверу специально сформированный HTTP GET запрос и аварийно завершить работу приложения inetinfo.exe. Уязвимость может быть эксплуатирована, если для директории установлены привилегии на выполнение сценариев и приложений. Примером такой директории является "/_vti_bin". Пример:

http://www.example.xom/_vti_bin/.dll/*\~0
Страницу следует обновить 4 раза.

Вместо “*” могут использоваться символы:
%01-%1f, %3f, ", *, :, <, >
Последняя цифра, после тильды, может быть от 0 до 9

URL производителя: www.microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения рекомендуется блокировать входящие запросы, содержащие "~0", "~1", "~2", "~3", "~4", "~5", "~6", "~7", "~8", или "~9". Согласно уведомлению, исправление выйдет вместе с SP3 для Windows XP.

Источники:

Ссылки: Microsoft IIS Remote DoS .DLL Url exploit

или введите имя

CAPTCHA