image

Microsoft bevestigt informatie-lek in IIS

dinsdag 19 mei 2009, 14:08 door Redactie, 0 reacties

Microsoft heeft bevestigd dat er inderdaad een lek in Internet Information Services (IIS) zit waardoor aanvallers in bepaalde gevallen toegang tot afgeschermde documenten kunnen krijgen. De kwetsbaarheid werd dit weekend via de Full-disclosure mailinglist onthuld. Volgens Microsoft is er echter een aantal voorwaarden waaraan moet worden voldaan voordat een aanvaller het lek kan misbruiken. De softwaregigant onderzoekt nog of het mogelijk is om via de kwetsbaarheid willekeurige bestanden te up- en te downloaden.

In afwachting van een mogelijk patch geeft Microsoft drie oplossingen. De eerste is het uitschakelen van WebDAV. Als tweede het wijzigen van de access list van het bestandssysteem, zodat IUSR_[MachineName] geen toegang meer heeft. De laatste workaround betreft het gebruik van URLScan om kwaadaardige requests te blokkeren. Daarnaast behoort ook het upgraden naar IIS 7.0 tot de mogelijkheden, aangezien deze versie niet kwetsbaar is.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.