Inhalte überspringen »
Security aktuell
Montag, 8. Juni 2009 - aktualisierte Meldung
Schwachstelle beim Verarbeiten von WebDAV-Requests erlaubt Umgehen der Authentifizierung für Passwortgeschützte Verzeichnisse und den Up- und Download beliebiger Dateien (MS09-020)
Systeme:
Windows
Programm:
Microsoft Internet Information Server
Programmversion:
5.0, 5.1, 6.0
Programmlink:
Lösung:
Als Workaround kann WebDAV deaktiviert werden.
Nachtrag 19.5.:
Microsoft hat die Schwachstelle bestätigt. Außer Version 6.0 sind auch Version 5.0 und 5.1 betroffen.
Nachtrag 22.5.:
Zwei Exploits wurden veröffentlicht.
Nachtrag 27.5.:
Ein weiterer Exploit wurde veröffentlicht.
Nachtrag 28.5.:
Steve Friedl hat eine ausführliche Beschreibung der Schwachstelle veröffentlicht.
Nachtrag 9.6.:
Patches stehen zur Verfügung.
Als Workaround kann WebDAV deaktiviert werden.
Nachtrag 19.5.:
Microsoft hat die Schwachstelle bestätigt. Außer Version 6.0 sind auch Version 5.0 und 5.1 betroffen.
Nachtrag 22.5.:
Zwei Exploits wurden veröffentlicht.
Nachtrag 27.5.:
Ein weiterer Exploit wurde veröffentlicht.
Nachtrag 28.5.:
Steve Friedl hat eine ausführliche Beschreibung der Schwachstelle veröffentlicht.
Nachtrag 9.6.:
Patches stehen zur Verfügung.
Quellen:
- milw0rm.com: Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Vulnerability
- IIS 6 + Webdav auth bypass and data upload
- Nachtrag 19.5.: Microsoft Security Advisory (971492) - Vulnerability in Internet Information Services Could Allow Elevation of Privilege
- Nachtrag 19.5.: MS Security Research & Defense: More information about the IIS authentication bypass
- Nachtrag 22.5.: MS Security Research & Defense: Answers to the IIS WebDAV authentication bypass questions
- Nachtrag 22.5.: milw0rm.com: Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (patch)
- Nachtrag 22.5.: WebDAV Detection, Vulnerability Checking and Exploitation
- Nachtrag 22.5.: milw0rm.com: Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (php)
- Nachtrag 27.5.: milw0rm.com: Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (pl)
- Nachtrag 28.5.: Steve Friedl: Understanding Microsoft's KB971492 IIS5/IIS6 WebDAV Vulnerability
- Nachtrag 9.6.: Microsoft Security Bulletin MS09-020 - Vulnerabilities in Internet Information Services (IIS) Could Allow Elevation of Privilege (970483)
Status:
Patch OK Erklärung
