IIS 7.0 ist nicht betroffen
IIS-Schwachstelle bestätigt: Auch Internet Information Server 5 betroffen
Eventuell lässt sich der Passwortschutz in IIS 6 bei aktiviertem WebDav umgehen, berichtete Zoller.lu. Dies wurde nun von Microsoft offiziell bestätigt. In einer Sicherheitsanweisung ist zu lesen, dass auch Internet Information Server 5.0 und 5.1 betroffen sind. Nicht betroffen ist IIS 7.0. Ebenso sei WebDav nicht zwangsweise deaktiviert. Es werde lediglich nicht per Standard aktiviert, wenn IIS 6.0 auf einem Windows Server 2003 installiert ist.
Wann ein Update verfügbar sein wird ist derzeit unklar. Microsoft schlägt für den Moment zwei Workarounds vor. Zum Einen könne man WebDav deaktivieren. Eine zweite Maßnahme wäre, anonymen Anwendern den Zugriff verweigern. Weitere Informationen zu der Schwachstelle finden Sie auch im Sicherheits-Blog von TechNet. (jdo)