Brecha no IIS 5.0 é parte do projeto, diz MS
A Microsoft publicou um código que explora uma brecha no IIS 5.0 e não apresentou nenhuma solução para o caso. É o que dizem especialistas em segurança.
A brecha no servidor Internet Information Services se apresenta da seguinte forma. As versões 5.x do produto, por padrão, permitem que o usuário siga em frente sem fazer uma autenticação básica. Embora esse comportamento seja planejado, representa uma falha, pois pode permitir que um usuário tenha acesso a documentos sem ter os direitos necessários para isso.
Até o momento, não há registro de sistemas invadidos por esse canal. A Microsoft garante que esse comportamento faz parte do projeto (portanto, não é um bug) e recomenda que os usuários façam o upgrade para a versão 6.0 do IIS, rodando no Windows Server 2003. Essa sugestão, assim como o código para produzir o efeito indesejado estão no artigo 328832 do Knowledge Base da Microsoft.
Comentários