[29.05.2003]
28 мая 2003 года компания Microsoft опубликовала сообщение о выпуске
очередного патча - - в связи с обнаружением сразу нескольких серьезных уязвимостей в системе безопасности MS Internet Information Server. В бюллетене содержится кумулятивный патч, установка которого, по классификации угроз компании Microsoft, является "важной" (important).
Вновь обнаруженным уязвимостям подвержены пользователи операционных систем
Windows NT4.0/2000/XP, на компьютерах которых запущены серверы Microsoft Internet Information Server версий 4.0, 5.0 и 5.1.
Патчи, опубликованные компанией в данном бюллетене, являются кумулятивными и закрывают все предыдущие дефекты в программном обеспечении Microsoft Internet Information Server, а также вновь обнаруженные:
уязвимость Cross-Site Scripting (CCS), позволяющая нападающему запустить вредоносный скрипт-код на компьютере пользователя, причем воспользоваться данной уязвимостью можно вне зависимости от того, какое программное обеспечение установлено на сервере. Для того, чтобы воспользоваться данной уязвимостью, нападающий должен каким-то образом заставить пользователя посетить вредоносную веб-страницу или открыть сконструированое им HTML- сообщение, присланное по электронной почте. В результате действия данной уязвимости скрипт будет запущен в браузере пользователя как будто он пришел от некой третьей стороны и в контексте прав пользователя такой стороны.
уязвимость переполнения буфера, заключающаяся в некорректной обработке параметров при ответе на запросы некоторых типов веб-страниц (.shtml, .stm и .shtm файлов), в результате действия которой нападающий может загрузить на пораженный сервер и запустить на нем в контексте прав пользователя такого сервера код на свое усмотрение.
уязвимость, заключающаяся в отсутствии лимита на размер заголовка, возвращаемого браузеру, при чрезмерном размере которого может произойти отказ сервера IIS 4.0 в работе, для восстановления функциональности которого потребуется ручная перезагрузка.
уязвимость, заключающаяся в некорректной обработке запросов WebDAV. Отсылка такого запроса размером более 49 153 байт приведет к временному отказу в работе сервера и его последующей автоматической перезагрузке.
Нынешний кумулятивный патч предполагает для своей установки обязательное наличие в системе патча, опубликованного в бюллетене компании , в случае отсутствия которого не будет происходить сертификация клиентской стороны.
Соответствующие патчи
для
для
для IIS 5.1
опубликованы в рамках вышеописанного бюллетеня.