Vulnerabilidad en variable SERVER_NAME de Microsoft IIS


Se ha descubierto una vulnerabilidad en Microsoft Internet Information
Services (IIS) 5.0, 5.1 y 6.0, que podría ser explotada por atacantes
remotos para falsificar determinada información sobre el servidor web.





La vulnerabilidad está causada por un error cuando se determina la
variable de nombre de servidor "SERVER_NAME", y puede ser explotada
a través de peticiones HTTP especialmente preparadas. Un ataque exitoso
podría revelar información sensible relativa al código fuente de páginas
asp, o evitar comprobaciones de seguridad que se realicen desde
aplicaciones web que empleen la variable de nombre de servidor.

Hasta la publicación de parches oficiales, se recomienda revisar las
aplicaciones web que hagan uso de la variable "SERVER_NAME" y evitar
confiar en ella. En los servidores IIS 5.0 y 5.1 la página de error
por defecto 500-100.asp también es vulnerable, ya que realiza
operaciones basadas en la variable "SERVER_NAME". En los sistemas
IIS 6.0 aunque vulnerables al problema su página 500-100.asp no se
ve afectada.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2496/comentar

Más información:

Remote IIS 5.x and IIS 6.0 Server Name Spoof
http://ingehenriksen.blogspot.com/2005/08/remote-iis-5x-and-iis-60-server-name.html


Fuente:
Sergio Hernando
@hispasec.com



Otras noticias de interés:

Siete tendencias que cambian el concepto de informática empresarial
ITMadrid acaba de dar a conocer los resultados de un estudio en el que ha analizado cuáles son las siete tendencias clave que están cambiando el concepto de informática empresarial. Entre ellas se encuentran Green IT, SaaS y cloud computing, gobie...
Crece a un 71% los bots, según Commtouch
Parece ser que a pesar de las recomendaciones repetitivas que se le hacen a los usuarios, ellos siguen siendo engañados por mensajes de correo electrónico que los insta a hacer clic en enlaces y archivos adjuntos sospechosos....
Vulnerabilidad en IIS (Internet Information Server). De vuelta a fallos de principios de década
Desde hace unos días, estamos viviendo una especie de desafortunada vuelta a principios de esta década por culpa de un grave fallo de seguridad en Internet Information Server, el servidor web de Microsoft. Se ha descubierto una vulnerabilidad como...
Zalewski despierta: Firefox, también vulnerable
Buf. Tardó en caer menos de lo que esperaba. Se ve que este hombre apenas duerme. Pues nada; que el último bug de Explorer arrastra con él a Firefox, vulnerable también......
WOT plugin que ayuda en la seguridad al navegar
WOT es una comunidad cuyos miembros intercambian conocimientos acerca de los sitios web: ¿Se puede confiar en ellos? ¿Son sitios seguros?, WOT le advertirá cuando vaya a entrar en un sitio sospechoso o peligroso. ...
Expertos: “Aprendizaje de OpenOffice no es difícil”
Reciente informe sobre el uso de software de código abierto en la administración pública echa por tierra el mito de que el aprendizaje de OpenOffice toma demasiado tiempo....
Microsoft publicará en breve el Service Pack 2 para Windows XP
Microsoft ha anunciado que el Service Pack 2 para Windows XP, una actualización largamente esperada, estará finalmente disponible durante los próximos días. Han pasado casi dos años desde la...
MS-Office no dará soporte a OOXML hasta el MS-Office 14
Parece sorprendente, pero así es: si ayer hablábamos del anuncio que ha confirmado la compatibilidad nativa con ODF, PDF y XPS en Office 2007 para dentro de un año, ahora nos enteramos de lo que no será soportado es el estándar ISO OOXML, que fu...
Poner Troyano y virus en un TXT
Te voy a explicar como crear un método para colocar un troyano en un archivo TXT. El método se puede resumir en pocas palabras: es un paquete colocado en un archivo DOC con extensión cambiada a TXT. Si no entendiste sigue leyendo y ...
Ponen falsos MP3 en servicios peer to peer
Según informó el portal zeropaid.com, la compañía coreana Overpeer sería la responsable de la aparición, en estas últimas semanas, de decenas de archivos de música falsos en los sistemas de intercambio peer to peer como Kazaa....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • iis
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • server_name
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • variable
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra