마이크로소프트 IIS 서비스 기본 인증 우회 취약점 권고
□ 영향
- 원격에서 악의적인 사용자가 접근이 제한된 웹 페이지에 접근 가능함.
□ 설명
- 이 취약점은 디렉토리에 대한 기본 인증(basic authentication)을 처리하는
루틴 상의 결함으로 인해 발생되는 것으로 기본 인증(basic authentication)으로
접근이 보호되는 URL에 대해 요청 시, NTFS 스트림 명과 타잎(":$i30:$INDEX_ALLOCATION")을
추가하여 요청함으로써, 인증을 우회할 수 있음.
□ 영향 받는 소프트웨어
- Microsoft Internet Information Services (IIS) 5.x
□ 위험 정도
- 위험 정도: Moderate
□ 해결책
- Microsoft Internet Information Services (IIS) 6.x 이상으로 업데이트 바람.
- URLScan 등 웹 서버 Locking Tool 설치.
- Basic Authentication이 아닌, 다른 인증 방식 도입.
□ 참조 사이트
- http://soroush.secproject.com/blog/2010/07/iis5-1-directory-authentication-bypass-by-using-i30index_allocation/
- http://secunia.com/advisories/40412
□ 영향
- 원격에서 악의적인 사용자가 접근이 제한된 웹 페이지에 접근 가능함.
□ 설명
- 이 취약점은 디렉토리에 대한 기본 인증(basic authentication)을 처리하는
루틴 상의 결함으로 인해 발생되는 것으로 기본 인증(basic authentication)으로
접근이 보호되는 URL에 대해 요청 시, NTFS 스트림 명과 타잎(":$i30:$INDEX_ALLOCATION")을
추가하여 요청함으로써, 인증을 우회할 수 있음.
□ 영향 받는 소프트웨어
- Microsoft Internet Information Services (IIS) 5.x
□ 위험 정도
- 위험 정도: Moderate
□ 해결책
- Microsoft Internet Information Services (IIS) 6.x 이상으로 업데이트 바람.
- URLScan 등 웹 서버 Locking Tool 설치.
- Basic Authentication이 아닌, 다른 인증 방식 도입.
□ 참조 사이트
- http://soroush.secproject.com/blog/2010/07/iis5-1-directory-authentication-bypass-by-using-i30index_allocation/
- http://secunia.com/advisories/40412