Skoči na vsebino

SI-CERT 2002-02 / Microsoft IIS kumulativni popravki

Popravki za več varnostnih lukenj v Microsoft Internet Information Server (IIS) produktu.

Prizadete verzije:

  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Server 5.0
  • Microsoft Internet Information Server 5.1
  • Microsoft Internet Information Server 6.0 Beta build 3605 in predhodni

Opis 

Microsoft je izdal kumulativne popravke za IIS 4.0, 5.0 in 5.1 strežnike, ki poleg starih pomanjkljivosti in lukenj odpravljajo tudi deset novoodkritih:

  • Heap Buffer overflow in ASP chunked encoding routines
  • Buffer overflow within the ASP data transfer mechanism
  • Buffer overflow in IIS HTTP header delimiter parsing
  • Buffer overflow in IIS ASP Server-Side Include routines
  • Buffer overflow in the HTR ISAPI extension
  • Denial of service caused by improper handling of error conditions in ISAPI filters
  • Denial of service in the IIS 4.0, 5.0 and 5.1 FTP (File Transfer Protocol) service
  • Cross-Site Scripting (CSS) vulnerabilities present in IIS 4.0, 5.0 and 5.1 

Nekatere od naštetih lukenj omogočajo vdor v sistem s pridobitvijo administrativnih pravic na njem. Potencialno nevarnost predstavljajo morebitni avtomatizirani napadi in internetni črvi (glej SI-CERT obvestili 2001-08.html in 2001-07).

Rešitev

Priporočamo, da takoj namestite popravke za ustrezne verzije Microsoft IIS strežnika:

Povezave

Preberite tudi

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več