Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News

Die Internet Information Services (IIS) von Microsoft lassen sich durch eine fehlerhafte kontruierte URL zum Absturz bringen. Beispielsweise genügt der mehrmalige Aufruf von http://ip-adresse/_vti_bin/.dll/*/~0, um den Webserver zum Absturz zu bringen. Betroffen ist IIS Version 5.1, die in Windows XP Professional enthalten ist, aber standardmäßig nicht mitinstalliert wird. Ausserdem muss der Skriptzugriff auf das aufgerufene Verzeichnis erlaubt sein.

Das Problem ließ sich bei einem Test in der heise-Security-Redaktion mit Windows XP SP2 nicht zuverlässig nachvollziehen. Ein DoS-Angriff war nicht bei jedem Versuch erfolgreich. Der IIS startet nach dem Crash automatisch neu, daher ist die Auswirkung eines Angriffs auch begrenzt. Ein Patch zum Beseitigen der Lücke ist nicht verfügbar. Als Workaround wird vorgeschlagen, alle URLs auszufiltern, die ~0, ~1, ~2, ~3, ~4, ~5, ~6, ~7, ~8 oder ~9 enthalten.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE


Mailadresse fuer Kontaktaufnahme