MS gibt Leck in Internet Information Server zu

Manfred Kohlen,
CloudServerSicherheitSicherheitsmanagementSoftware

Vergangene Woche meldete Full Disclosure eine Lücke in Internet Information Server 6.0: Durch eine Schwäche der WebDAV-Funktion, mit der Dateien auf dem Webserver behandelt werden können wie lokale Dateien, könnten Nutzer Passwort-geschützte Verzeichnisse abrufen, ohne sich zu authentifizieren.

Microsoft bestätigte gestern Abend das Leck und ergänzt, es sei auch in Versionen 5.0 und 5.1 des Programms enthalten, nicht mehr aber im IIS 7.0.

Die WebDAV-Funktion dekodiere URLs mit Unicode-Zeichen falsch. Das ließe sich mit einem kleinen Trick ausnutzen, um die Authentifizierung zu umgehen, Schreibrechte habe man aber zum Glück nicht.

Microsoft hat genannt, unter welchen Konfigurationen der Fehler auftritt, kündigt aber noch keinen Patch an. Um geheime Daten auf demWebserver vor Spionen zu schützen, empfiehlt Microsoft vorerst, WebDAV auszuschalten oder zumindest Zugriffe de Users “Anonymous” zu sperren. (Manfred Kohlen)

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen