Importante actualización de IIS 4.0 y 5.0


Microsoft y el CERT han publicado sendos boletines para informar de la
existencia de una serie de vulnerabilidades al Internet Information Server
(IIS), el servidor web incluido en los sistemas operativos Microsoft
Windows NT 4.0 y Microsoft Windows 2000 Server.
Una de las vulnerabilidades descritas es de una especial importancia ya
que puede permitir a una atacante remoto ejecutar mandatos en el servidor
web. Por ello, Microsoft y el CERT recomiendan a todos los administradores
la aplicación urgente de las actualizaciones publicadas.

El boletín de Microsoft describe tres vulnerabilidades:

* La primera vulnerabilidad permite a un atacante remoto la ejecución de
mandatos en el servidor afectado. Esta vulnerabilidad es debida a la
existencia de un mecanismo adicional y superfluo de análisis de la URL
recibida en el paquete HTTP. Si la URL está codificada de una determinada
forma, este mecanismo adicional de análisis puede permitir a un atacante
saltarse los mecanismos de protección y ejecutar mandatos del sistema
operativo en cualquier directorio del disco. La ejecución de estos
mandatos se hace bajo el contexto de seguridad del usuario
IUSR_nombre-máquina.

* La segunda vulnerabilidad está relacionada con el servicio FTP y puede
ser utilizada por un atacante remoto para lanzar un ataque de denegación
del servicio contra el servidor.

* La tercera vulnerabilidad facilita a los atacantes la identificación
que las cuentas de usuario invitado accesibles mediante FTP.

Estas tres vulnerabilidades afectan tanto a Microsoft Internet Information
Server 4.0 como a Microsoft Internet Information Server 5.0. Las
actualizaciones están disponibles en:

Microsoft IIS 4.0

http://www.microsoft.com/Downloads/Release.asp?ID=29787

Microsoft IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ID=29764

Estas actualizaciones son especiales ya que no sólo incluyen los parches
necesarios para eliminar los problemas descritos en el boletín de
Microsoft sino que, también, incluyen otros parches publicados previamente
de forma separada.

Así, la actualización para IIS 4.0 incluye la funcionalidad de los
diversos parches publicados con posterioridad al Service Pack 5.0 de NT
4.0 que tienen relación con el IIS. Por lo que respecta a la actualización
de IIS 5.0, incluye tdos los parches que se han publicado hasta la fecha
para IIS 5.0

Esto hace que la instalación de estas actualización sea todavía mucho más
recomendable.


Más Información:

Boletín de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS01-026.asp

Aviso del CERT:
http://www.cert.org/advisories/CA-2001-12.html

Aviso de los descubridores de la vulnerabilidad de IIS:
http://www.nsfocus.com/english/homepage/sa01-02.htm

Versión original de esta noticia (en catalán):
http://www.quands.com/alertes/html/ms01-026.html