[Vulnerable] Microsoft IIS "SERVER_NAME" Variable Spoofing

23/08/2005 - 18:44 por 1x4x9 | Informe spam
Microsoft IIS "SERVER_NAME" Variable Spoofing Vulnerability
http://secunia.com/advisories/16548/


Secunia Advisory: SA16548
Release Date: 2005-08-23

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status:Unpatched

Software:

Microsoft Internet Information Services (IIS) 5.x
Microsoft Internet Information Services (IIS) 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.


Description:
Inge Henriksen has discovered a vulnerability in Microsoft Internet
Information Services (IIS), which can be exploited by malicious people
to spoof certain information.

The vulnerability is caused due to an error when determining the
"SERVER_NAME" variable and can be exploited to spoof it via a
specially crafted HTTP request.

Successful exploitation may e.g. disclose parts of an ASP scripts'
source code or make it possible to bypass security checks performed by
a web application based on the "SERVER_NAME" variable.

The vulnerability has been confirmed in IIS 5.1 and has also been
reported in versions 5.0 and 6.0.


Solution:
Don't make assumptions based on the "SERVER_NAME" variable in web
applications.

Don't use the default 500-100.asp error page, as it makes assumptions
based on the "SERVER_NAME" variable and may return script contents
when encountering errors.

Provided and/or discovered by:
Inge Henriksen

Original Advisory:
http://ingehenriksen.blogspot.co......-name.html

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
23/08/2005 - 19:33 | Informe spam
http://secunia.com/product/1438/?period 05#advisories

http://secunia.com/product/39/

Salu2!!
Javier Inglés
MS MVP, Windows Server-Directory Services





"1x4x9" escribió en el mensaje
news:defjrb$j0i$
Microsoft IIS "SERVER_NAME" Variable Spoofing Vulnerability
http://secunia.com/advisories/16548/


Secunia Advisory: SA16548
Release Date: 2005-08-23

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status:Unpatched

Software:

Microsoft Internet Information Services (IIS) 5.x
Microsoft Internet Information Services (IIS) 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.


Description:
Inge Henriksen has discovered a vulnerability in Microsoft Internet
Information Services (IIS), which can be exploited by malicious people
to spoof certain information.

The vulnerability is caused due to an error when determining the
"SERVER_NAME" variable and can be exploited to spoof it via a
specially crafted HTTP request.

Successful exploitation may e.g. disclose parts of an ASP scripts'
source code or make it possible to bypass security checks performed by
a web application based on the "SERVER_NAME" variable.

The vulnerability has been confirmed in IIS 5.1 and has also been
reported in versions 5.0 and 6.0.


Solution:
Don't make assumptions based on the "SERVER_NAME" variable in web
applications.

Don't use the default 500-100.asp error page, as it makes assumptions
based on the "SERVER_NAME" variable and may return script contents
when encountering errors.

Provided and/or discovered by:
Inge Henriksen

Original Advisory:
http://ingehenriksen.blogspot.co......-name.html
Respuesta Responder a este mensaje
#2 anonymous
23/08/2005 - 20:55 | Informe spam
http://secunia.com/product/1438/?period 05#advisories

http://secunia.com/product/39/
Javier Inglés



Los internautas culpan a Microsoft de la reciente plaga de gusanos que
azotan la vulnerabilidad de Windows


Una encuesta en Internet llevada a cabo por Sophos entre más de 1.000
empresas que utilizan Internet ha revelado que el 35% de las mismas
culpan a Microsoft del reciente ataque de gusanos en todo el mundo que
aprovechan una nueva vulnerabilidad en el sistema operativo Windows
del gigante de la informática.

Los administradores informáticos han expresado su indignación, ya que
el 20% de los encuestados responsabiliza a Microsoft de no haber
puesto parches de seguridad lo suficientemente rápido. El 45% piensa
que son los autores de virus los culpables de los 19 gusanos que están
aprovechando el agujero de seguridad de Microsoft.

“La mayoría de los usuarios cree que el mayor responsable de la
aparición de estos gusanos son los autores de los mismos”, comenta
Annie Gay, directora general de Sophos Francia y Europa del Sur. “Pero
lo más sorprendente es que tanta gente culpe a Microsoft por el fallo
que existe en su programa. La indignación de los usuarios es
comprensible en la medida en que el problema de seguridad de Microsoft
y las consecuencias que conlleva se han hecho sentir en todo el mundo.
Muchos encuestados expresaron también su frustración por tener que
instalar constantemente parches de seguridad para proteger sus
organizaciones”, añade.

Sophos estima que Microsoft se enfrenta a un desafío importante en su
afán de presentarse asimismo como compañía de seguridad. De hecho,
otra encuesta llevada a cabo recientemente por Sophos muestra que sólo
un 28% de los encuestados consideran Microsoft como el sistema
operativo más fiable en cuanto a la seguridad, mientras el 47% creen
que Linux y Unix son los más seguros.

Cibersur.com

2005-08-22 14:51:38
http://www.cibersur.com/modules.php...r&refd
Respuesta Responder a este mensaje
#3 anonymous
23/08/2005 - 20:55 | Informe spam
Gracias por el aviso


Microsoft IIS "SERVER_NAME" Variable Spoofing Vulnerability
http://secunia.com/advisories/16548/


Secunia Advisory: SA16548
Release Date: 2005-08-23

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status:Unpatched

Software:

Microsoft Internet Information Services (IIS) 5.x
Microsoft Internet Information Services (IIS) 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.


Description:
Inge Henriksen has discovered a vulnerability in Microsoft Internet
Information Services (IIS), which can be exploited by malicious people
to spoof certain information.

The vulnerability is caused due to an error when determining the
"SERVER_NAME" variable and can be exploited to spoof it via a
specially crafted HTTP request.

Successful exploitation may e.g. disclose parts of an ASP scripts'
source code or make it possible to bypass security checks performed by
a web application based on the "SERVER_NAME" variable.

The vulnerability has been confirmed in IIS 5.1 and has also been
reported in versions 5.0 and 6.0.


Solution:
Don't make assumptions based on the "SERVER_NAME" variable in web
applications.

Don't use the default 500-100.asp error page, as it makes assumptions
based on the "SERVER_NAME" variable and may return script contents
when encountering errors.

Provided and/or discovered by:
Inge Henriksen

Original Advisory:
http://ingehenriksen.blogspot.co......-name.html
Respuesta Responder a este mensaje
#4 Javier Inglés [MS MVP]
24/08/2005 - 10:21 | Informe spam
Divertida noticia, sobre todo cuando Marc ya te ha explicado el parche
estaba disponible antes de la encuesta...

Salu2!!
Javier Inglés
MS MVP, Windows Server-Directory Services





escribió en el mensaje
news:
http://secunia.com/product/1438/?period 05#advisories

http://secunia.com/product/39/
Javier Inglés



Los internautas culpan a Microsoft de la reciente plaga de gusanos que
azotan la vulnerabilidad de Windows


Una encuesta en Internet llevada a cabo por Sophos entre más de 1.000
empresas que utilizan Internet ha revelado que el 35% de las mismas
culpan a Microsoft del reciente ataque de gusanos en todo el mundo que
aprovechan una nueva vulnerabilidad en el sistema operativo Windows
del gigante de la informática.

Los administradores informáticos han expresado su indignación, ya que
el 20% de los encuestados responsabiliza a Microsoft de no haber
puesto parches de seguridad lo suficientemente rápido. El 45% piensa
que son los autores de virus los culpables de los 19 gusanos que están
aprovechando el agujero de seguridad de Microsoft.

"La mayoría de los usuarios cree que el mayor responsable de la
aparición de estos gusanos son los autores de los mismos", comenta
Annie Gay, directora general de Sophos Francia y Europa del Sur. "Pero
lo más sorprendente es que tanta gente culpe a Microsoft por el fallo
que existe en su programa. La indignación de los usuarios es
comprensible en la medida en que el problema de seguridad de Microsoft
y las consecuencias que conlleva se han hecho sentir en todo el mundo.
Muchos encuestados expresaron también su frustración por tener que
instalar constantemente parches de seguridad para proteger sus
organizaciones", añade.

Sophos estima que Microsoft se enfrenta a un desafío importante en su
afán de presentarse asimismo como compañía de seguridad. De hecho,
otra encuesta llevada a cabo recientemente por Sophos muestra que sólo
un 28% de los encuestados consideran Microsoft como el sistema
operativo más fiable en cuanto a la seguridad, mientras el 47% creen
que Linux y Unix son los más seguros.

Cibersur.com

2005-08-22 14:51:38
http://www.cibersur.com/modules.php...r&refd
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida