Новый патч от Microsoft - опять серьезные проблемы с IIS

29 мая 2003

[29.05.2003]

28 мая 2003 года компания Microsoft опубликовала сообщение о выпуске очередного патча - MS03-18 - в связи с обнаружением сразу нескольких серьезных уязвимостей в системе безопасности MS Internet Information Server. В бюллетене содержится кумулятивный патч, установка которого, по классификации угроз компании Microsoft, является "важной" (important).

Вновь обнаруженным уязвимостям подвержены пользователи операционных систем Windows NT4.0/2000/XP, на компьютерах которых запущены серверы Microsoft Internet Information Server версий 4.0, 5.0 и 5.1.

Патчи, опубликованные компанией в данном бюллетене, являются кумулятивными и закрывают все предыдущие дефекты в программном обеспечении Microsoft Internet Information Server, а также вновь обнаруженные:

  • уязвимость Cross-Site Scripting (CCS), позволяющая нападающему запустить вредоносный скрипт-код на компьютере пользователя, причем воспользоваться данной уязвимостью можно вне зависимости от того, какое программное обеспечение установлено на сервере. Для того, чтобы воспользоваться данной уязвимостью, нападающий должен каким-то образом заставить пользователя посетить вредоносную веб-страницу или открыть сконструированое им HTML- сообщение, присланное по электронной почте. В результате действия данной уязвимости скрипт будет запущен в браузере пользователя как будто он пришел от некой третьей стороны и в контексте прав пользователя такой стороны.
  • уязвимость переполнения буфера, заключающаяся в некорректной обработке параметров при ответе на запросы некоторых типов веб-страниц (.shtml, .stm и .shtm файлов), в результате действия которой нападающий может загрузить на пораженный сервер и запустить на нем в контексте прав пользователя такого сервера код на свое усмотрение.
  • уязвимость, заключающаяся в отсутствии лимита на размер заголовка, возвращаемого браузеру, при чрезмерном размере которого может произойти отказ сервера IIS 4.0 в работе, для восстановления функциональности которого потребуется ручная перезагрузка.
  • уязвимость, заключающаяся в некорректной обработке запросов WebDAV. Отсылка такого запроса размером более 49 153 байт приведет к временному отказу в работе сервера и его последующей автоматической перезагрузке.
  • Нынешний кумулятивный патч предполагает для своей установки обязательное наличие в системе патча, опубликованного в бюллетене компании MS02-50, в случае отсутствия которого не будет происходить сертификация клиентской стороны.

    Соответствующие патчи

  • для IIS 4.0
  • для IIS 5.0
  • для IIS 5.1
    32-битной версии
    64-битной версии
  • опубликованы в рамках вышеописанного бюллетеня.
    11
    ;