Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-007 V1.1
Unchecked Buffer In Windows Component Could Cause Web Server Compromise (815021)
 

Expuesto originalmente: 17 de marzo de 2003

Actualización: 18 de marzo de 2003

Resumen

 

Quién debería leer este boletín: Los Administradores de Sistemas que utilicen Microsoft Windows 2000

Alcance de la vulnerabilidad: Ejecución de cualquier código que elija el atacante

Gravedad máxima: Crítica

Recomendación: Los Administradores de Sistema deberían instalar la revisión de seguridad inmediatamente.

Boletín para el usuario final: Existe una versión de este boletín para el usuario final en: www.microsoft.com/latam/seguridad/boletines/default.asp

Software afectado:

  • Microsoft Windows 2000 

 
 
Detalles técnicos
 

 

 

Descripción técnica:

Microsoft Windows 2000 supports the World Wide Web Distributed Authoring and Versioning (WebDAV) protocol. WebDAV, defined in RFC 2518, is a set of extensions to the Hyper Text Transfer Protocol (HTTP) that provide a standard for editing and file management between computers on the Internet. A security vulnerability is present in a Windows component used by WebDAV, and results because the component contains an unchecked buffer.

An attacker could exploit the vulnerability by sending a specially formed HTTP request to a machine running Internet Information Server (IIS). The request could cause the server to fail or to execute code of the attacker’s choice. The code would run in the security context of the IIS service (which, by default, runs in the LocalSystem context).

Although Microsoft has supplied a patch for this vulnerability and recommends customers install the patch immediately, additional tools and preventive measures have been provided that customers can use to block the exploitation of this vulnerability while they are assessing the impact and compatibility of the patch. These temporary workarounds and tools are discussed in the “Workarounds” section in the FAQ below.

 

Factores atenuantes:

  • URLScan, which is a part of the IIS Lockdown Tool will block this attack in its default configurations
  • The vulnerability can only be exploited remotely if an attacker can establish a web session with an affected server

Gravedad:  

 

Windows 2000

Crítica

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad: CAN-2003-0109

 

Versiones probadas:
Microsoft tested Windows NT 4.0, Windows 2000, and Windows XP, to assess whether they are affected by this vulnerability. Only Windows 2000 is affected by this bulletin. Previous versions are no longer supported, and may or may not be affected by these vulnerabilities.

 

   
 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad Windows 2000:

 

Otra información:

 

Soporte técnico:

 

 

Recursos de seguridad: El sitio Web Microsoft TechNet Security proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (17 de marzo de 2003): Creación del boletín.

  • V1.1 (18 de marzo de 2003): Added new information in the Caveats under in the Additional Information section, clarified affected Windows component throughout the bulletin, added a question regarding IIS 5.0 to the Frequently Asked Questions section, added a question regarding changes to the Caveats in the Additional Information section to the Frequently Asked Questions section

 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft