'iis 5.0'에 해당되는 글 1건

  1. 2010.07.14 MS IIS 서비스 기본 인증 우회 취약점 권고
취약점 진단2010. 7. 14. 01:24
마이크로소프트 IIS 서비스 기본 인증 우회 취약점 권고

□ 영향
    - 원격에서 악의적인 사용자가 접근이 제한된 웹 페이지에 접근 가능함.

□ 설명
    - 이 취약점은 디렉토리에 대한 기본 인증(basic authentication)을 처리하는
      루틴 상의 결함으로 인해 발생되는 것으로 기본 인증(basic authentication)으로
      접근이 보호되는 URL에 대해 요청 시, NTFS 스트림 명과 타잎(":$i30:$INDEX_ALLOCATION")을
      추가하여 요청함으로써, 인증을 우회할 수 있음.
   
□ 영향 받는 소프트웨어
    - Microsoft Internet Information Services (IIS) 5.x

□ 위험 정도
    - 위험 정도: Moderate

□ 해결책
    - Microsoft Internet Information Services (IIS) 6.x 이상으로 업데이트 바람.
    - URLScan 등 웹 서버 Locking Tool 설치.
    - Basic Authentication이 아닌, 다른 인증 방식 도입.

□ 참조 사이트
    - http://soroush.secproject.com/blog/2010/07/iis5-1-directory-authentication-bypass-by-using-i30index_allocation/
    - http://secunia.com/advisories/40412


Posted by 김주일