MS besätigt Leck im Internet Information Server

CloudServerSicherheitSicherheitsmanagementSoftware

Die Lücke im IIS betrifft vor allem internationale URLs mit Unicode-Zeichen wie etwa thailändisch, chinesisch oder arabisch. Dennoch können auch westliche URLs manipuliert werden und so Zugriff zu geheimen Daten auf dem Webserver erlauben.

Vergangene Woche meldete Full Disclosure eine Lücke in Internet Information Server 6.0: Durch eine Schwäche der WebDAV-Funktion, mit der Dateien auf dem Webserver behandelt werden können wie lokale Dateien, könnten Nutzer Passwort-geschützte Verzeichnisse abrufen, ohne sich zu authentifizieren.

Microsoft bestätigte gestern Abend das Leck und ergänzt, es sei auch in Versionen 5.0 und 5.1 des Programms enthalten, nicht mehr aber im IIS 7.0.

Die WebDAV-Funktion dekodiere URLs mit Unicode-Zeichen falsch. Das ließe sich mit einem kleinen Trick ausnutzen, um die Authentifizierung zu umgehen, Schreibrechte habe man aber zum Glück nicht.

Microsoft hat genannt, unter welchen Konfigurationen der Fehler auftritt, kündigt aber noch keinen Patch an. Um geheime Daten auf demWebserver vor Spionen zu schützen, empfiehlt Microsoft vorerst, WebDAV auszuschalten oder zumindest Zugriffe de Users “Anonymous” zu sperren. (Manfred Kohlen)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen