Microsoft-IIS

Desbordamiento de búfer en Microsoft Internet Information Services 6.0

Fecha de publicación: 01/04/2017
Descripción: Hace año y medio, Microsoft finalizó el soporte para el sistema operativo Windows Server 2003, lo que incluia el Internet Information Services (IIS) 6.0. Con dicha noticia, el sistema dejo de recibir actualizaciones, por lo que los usuarios se muestran desprotegidos ante alguna vulnerabilidad.
El fallo se encuentra en la función ScStoragePathFromUrl, del servicio WebDAV (Web Distributed Authoring and Versioning). Con CVE-2017-7269, se dá una validación incorrecta de una cabecera IF de gran tamaño, lo que provoca un desbordamiento del búfer y puede permitir al atacante la ejecución de código arbitrario. Se cree que esta vulnerabilidad puede explotarse desde julio o agosto del año pasado.
Cabe destacar que los fallos de WebDAV no representan una novedad.
Recursos Afectados: Equipos con Windows Server 2003.
Solución: Desactivar WebDAV, o actualizar a un sistema operativo que aún posea soporte por el fabricante para permitir las actualizaciones que corrigen estas vulnerabilidades.

0 replies

Deja una respuesta

¿Quieres unirte a la discusión?
¡Siéntete libre de contribuir!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *