Umgehung der Authentifizierung möglich

Sicherheitslücke in IIS 6.0 WebDav

Das SANS Internet Storm Center warnt vor einer unschönen Sicherheitslücke in IIS 6.0. Unter bestimmten Umständen lässt sich der Passwortschutz umgehen.

Das Anhängen von gewissen Unicode-Zeichen an eine URL lässt sich benutzen, um den Passwortschutz in Microsoft IIS 6.0 mit WebDav zu umgehen. Somit könnte ein Angreifer sogar Dateien in geschützte Ordner hochladen. Microsofts Internet Information Server 7 ist nicht betroffen. Weiterhin ist WebDav nicht per Standard aktiviert in IIS 6.0.

Weitere Informationen finden Sie in einem PDF-Dokument von seclists.org oder im Blog von Zoller.lu. Administratoren sollten sich überlegen, WebDav temporär abzuschalten, bis weitere Details oder eine Lösung des Problem zur Verfügung stehen. (jdo)