Отказ в обслуживании в Microsoft IIS

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании приложения.

Уязвимость существует при обработке URL. Удаленный пользователь может послать Web серверу специально сформированный HTTP GET запрос и аварийно завершить работу приложения inetinfo.exe. Уязвимость может быть эксплуатирована, если для директории установлены привилегии на выполнение сценариев и приложений. Примером такой директории является "/_vti_bin". Пример:

http://www.example.xom/_vti_bin/.dll/*\~0
Страницу следует обновить 4 раза.

Вместо “*” могут использоваться символы:
%01-%1f, %3f, ", *, :, <, >
Последняя цифра, после тильды, может быть от 0 до 9

URL производителя: www.microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения рекомендуется блокировать входящие запросы, содержащие "~0", "~1", "~2", "~3", "~4", "~5", "~6", "~7", "~8", или "~9". Согласно уведомлению, исправление выйдет вместе с SP3 для Windows XP.

Источники: