CERT Advisory CA-2002-09 Múltiplas Vulnerabilidades no Microsoft IIS

NBSO - NIC BR Security Office
CGI.br - Comitê Gestor da Internet no Brasil
Chave PGP: http://www.nbso.nic.br/pgp/nbso@nic.br.asc

Tradução dos Advisories do CERT/CC, com permissão especial do Software Engineering Institute (SEI).

CERT^® Advisory CA-2002-09 Múltiplas Vulnerabilidades no Microsoft IIS

Data original de lançamento: 11 de abril de 2002
Última Revisão: --
Origem: CERT/CC

Um histórico completo das revisões pode ser encontrado ao final deste documento.

Sistemas Afetados

Microsoft IIS 4.0, 5.0, and 5.1

Resumo

Existem diversas vulnerabilidades em várias versões do Microsoft IIS. Algumas destas vulnerabilidades podem permitir que um intruso execute código arbitrário em sistemas vulneráveis.

I. Descrição

Existem diversas vulnerabilidades no Microsoft IIS. Muitas destas vulnerabilidades são "buffer overflows", que podem permitir a um intruso executar código arbitrário em sistemas vulneráveis.

Nós aconselhamos fortemente todos os sites que utilizam IIS a ler o advisory da Microsoft sobre estas e outras vulnerabilidades, e a tomar as ações apropriadas assim que possível. O boletim da Microsoft está disponível em:

http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

Informações adicionais sobre estas vulnerabilidades estão disponíveis em:

Vulnerability note	Número CVE	Título
http://www.kb.cert.org/vuls/id/363715	CAN-2002-0071	Microsoft Internet Information Server (IIS) é vulnerável a "heap overflow" durante o processamento de requisições ".htr" pelo filtro ISAPI "ISM.DLL"
http://www.kb.cert.org/vuls/id/883091	CAN-2002-0074	Microsoft Internet Information Server (IIS) contém vulnerabilidade de "cross-site scripting" no mecanismo de busca dos Arquivos de Ajuda do IIS
http://www.kb.cert.org/vuls/id/886699	CAN-2002-0148	Microsoft Internet Information Server (IIS) contém vulnerabilidade de "cross-site scripting" nas páginas dos resultados de erro HTTP
http://www.kb.cert.org/vuls/id/520707	CAN-2002-0075	Microsoft Internet Information Server (IIS) contém vulnerabilidade de "cross-site scripting" em mensagens de redirecionamento de resposta
http://www.kb.cert.org/vuls/id/412203	CAN-2002-0073	Microsoft Internet Information Server (IIS) é vulnerável a DoS via requisição mal formada de estados de conexões FTP
http://www.kb.cert.org/vuls/id/454091	CAN-2002-0150	Microsoft Internet Information Server (IIS) é vulnerável a "buffer overflow" via checagem incorreta de delimitadores nos campos de cabeçalho do HTTP
http://www.kb.cert.org/vuls/id/721963	CAN-2002-0149	Microsoft Internet Information Server (IIS) possui um "buffer overflow" em "server-side includes" (SSI) contendo nomes de arquivos longos inválidos
http://www.kb.cert.org/vuls/id/521059	CAN-2002-0072	Microsoft Internet Information Server (IIS) é vulnerável a DoS quando requisições de URL excedem o tamanho máximo permitido
http://www.kb.cert.org/vuls/id/610291	CAN-2002-0079	Microsoft Internet Information Server (IIS) possui um "buffer overflow" no mecanismo de transferência de codificação em blocos (chunked encoding)
http://www.kb.cert.org/vuls/id/669779	CAN-2002-0147	Microsoft Internet Information Server (IIS) possui um "buffer overflow" no mecanismo de transferência de codificação em blocos (chunked encoding)

II. Impacto

Para muitas das vulnerabilidades, um intruso pode executar código arbitrário com privilégios que variam de acordo com a versão do IIS utilizada. Em geral, o IIS 4.0 permite a um intruso executar código com privilégios administrativos completos, enquanto IIS 5.0 e 5.1 permitem a um intruso executar código com os privilégios da conta IWAM_nomedamáquina.

III. Solução

A Microsoft Corporation liberou o Microsoft Security Bulletin MS02-018, que anuncia a disponibilidade de correções cumulativas para tratar uma variedade de problemas. Nós aconselhamos fortemente a leitura deste boletim e a aplicação das medidas corretivas apropriadas. O MS02-018 está disponível em:

http://www.microsoft.com/technet/security/bulletin/MS02-018.asp

Adicionalmente à aplicação da correção, ou até que ela possa ser aplicada, recomendamos as seguintes ações:

Use as ferramentas IIS Lockdown e URLScan para eliminar ou reduzir o impacto de algumas dessas vulnerabilidades; estas ferramentas podem também eliminar ou reduzir outras vulnerabilidades que ainda não tenham sido descobertas. A ferramenta IIS Lockdown também pode ser utilizada para desabilitar ASP, se ele não for necessário. Mais informações sobre as ferramentas IIS Lockdown e URLScan podem ser encontradas em:

http://www.microsoft.com/technet/security/tools/locktool.asp

http://www.microsoft.com/technet/security/URLScan.asp
Como a Microsoft tem recomendado há algum tempo, desabilite as extensões HTR ISAPI, a menos que elas sejam absolutamente necessárias.
Desabilite o FTP anônimo, a menos que ele seja necessário.
Não abra contas em servidores IIS para usuários não confiáveis.

Nossos agradecimentos à Microsoft Corporation pela informação contida em seu advisory. Adicionalmente, nossos agradecimentos vão para as várias pessoas e organizações que a Microsoft identificou como tendo descoberto as vulnerabilidades, incluindo eEye Digital Security (http://www.eeye.com), Serge Mister da Entrust, Inc. (http://www.entrust.com), Dave Aitel da @Stake (http://www.atstake.com), Peter Grundl da KPMG, Joe Smith (jsm1th@hotmail.com) e zenomorph (admin@cgisecurity.com) da http://www.cgisecurity.com, Keigo Yamazaki do Time LAC SNS (http://www.lac.co.jp/security/) e Thor Larholm da Jubii A/S.

Autor: Shawn V. Hernan

Tradução: Artur Renato Araujo da Silva e Marcelo de Souza

Revisão Técnica: Cristine Hoepers e Rafael Obelheiro

Esta versão traduzida do documento pode ser obtida em: http://www.nbso.nic.br/certcc/advisories/CA-2002-09-br.html

A versão original, em Inglês, deste documento pode ser obtida em: http://www.cert.org/advisories/CA-2002-09.html

Informações de Contato do CERT/CC

Email: cert@cert.org
Telefone: +1 412-268-7090 (Hotline 24 horas)
Fax: +1 412-268-6989
Endereço para correspondência:: CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos.

Utilização de criptografia

Nós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em:

http://www.cert.org/CERT_PGP.key

Se você preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações.

Obtendo informações sobre segurança

As publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:

http://www.cert.org/

Para inscrever-se na lista de advisories e boletins do CERT, envie um email para majordomo@cert.org, incluindo o seguinte no corpo da sua mensagem:

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.

NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org).

NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org.

NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.

Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.

No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work.

Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.

This permission is granted on a non-exclusive basis for non-commercial purposes.

Conditions for use, disclaimers, and sponsorship information

Histórico de Revisões
11 de abril de 2002: Lançamento da versão inicial