Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en systemadministratör inom Linux-klientinfrastruktur och it-säkerhet till CERT-SE, en central roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 15 augusti.

Uppdaterad | Publicerad - Sårbarhet, Microsoft, webbserver

SR09-206 Microsoft - Sårbarhet i IIS

Bristfällig hantering av filändelser kan utnyttjas för att kringgå säkerhetsmekanismer.

Problembeskrivning

CVE-referens:-

En sårbarhet har upptäckts i Microsoft IIS som potentiellt kan utnyttjas för att kringgå säkerhetsmekanismer. IIS hanterar nämligen filer med flera filändelser separerade med semi-kolon, exempelvis "filnamn.asp;.png", som ASP-filer.

Denna brist gör det möjligt för en angripare att kringgå vissa skydd baserade på filändelser. Genom att lägga till en för webbapplikationen godkänd filändelse till en skadlig exekverbar fil kan angriparen "smuggla" filen genom kontrollen.

Vid skrivande stund finns ingen programrättning. Dock kan sårbarheten undvikas genom att följa "best practice", som att exempelvis ta bort exekveringsrättigheter för uppladdningskataloger.

Påverkade versioner

  • IIS 6.0 och tidigare

Mer information och programrättningar

http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx

http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf

http://secunia.com/advisories/37831/