Обход Basic аутентификации в Microsoft IIS
| Дата публикации: | 15.09.2010 |
| Всего просмотров: | 2851 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:P/RL:O/RC:C) |
| CVE ID: | CVE-2010-2731 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | PoC код |
| Уязвимые продукты: | Microsoft Internet Information Services (IIS) 5.x |
| Уязвимые версии: Microsoft IIS 5.1
Описание: Уязвимость существует из-за ошибки при обработке Basic аутентификации для директорий. Удаленный пользователь может обойти аутентификацию и получить доступ к защищенным директориям путем добавления к имени директории имя и тип NTFS потока (":$i30:$INDEX_ALLOCATION"). Пример: http://wwww.example.com/AuthNeeded:$i30:$INDEX_ALLOCATION/secretfile.asp URL производителя: www.microsoft.com Решение: Установите исправление с сайта производителя. |
|
| a:2:{s:4:"TEXT";s:273:"Internet Information Services 5.1 для Windows XP Service Pack 3: http://www.microsoft.com/downloads/details.aspx?familyid=AE55787E-4A5C-48D5-AEDF-0ABADA514938";s:4:"TYPE";s:4:"html";} |
|
| Ссылки: | MS10-065: Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Remote Code Execution (2267960) |
| Журнал изменений: | a:2:{s:4:"TEXT";s:35:"15.09.2010 Добавлен PoC код.";s:4:"TYPE";s:4:"html";} |