Boletín de seguridad
Boletín de seguridad de Microsoft MS01-016: crítico
La solicitud webDAV con formato incorrecto puede hacer que IIS agote los recursos de CPU.
Publicado: 8 de marzo de 2001 | Actualizado: 23 de junio de 2003
Versión: 2.2
Publicado originalmente: 08 de marzo de 2001
Actualizado: 23 de junio de 2003
Resumen
Quién debe leer este boletín:
Administradores del sistema que usan Microsoft® Internet Information Services 5.0
Impacto de la vulnerabilidad:
Denegación de servicio
Recomendación:
Los administradores del sistema que usan Microsoft® Internet Information Services 5.0 deben aplicar la revisión que se muestra a continuación.
Software afectado:
- Microsoft Internet Information Services 5.0
Información general
Detalles técnicos
Descripción técnica:
WebDAV es una extensión para el protocolo HTTP que permite la creación y administración remota del contenido web. En la implementación de Windows 2000 del protocolo, IIS 5.0 realiza el procesamiento inicial de todas las solicitudes de WebDAV y, a continuación, reenvía los comandos adecuados al proceso de WebDAV. Sin embargo, existe un error en la forma en que WebDAV controla un tipo determinado de solicitud con formato incorrecto. Si un flujo de estas solicitudes se dirigió a un servidor afectado, consumiría toda la disponibilidad de CPU en el servidor.
La versión original de este boletín proporcionó una solución alternativa (descrita en el artículo de Knowledge Base Q241520) que protegería los sistemas afectados al deshabilitar los servicios WebDAV. Sin embargo, ahora hay disponible una revisión de seguridad que elimina la vulnerabilidad y Microsoft recomienda usar la revisión en lugar de la solución alternativa.
La revisión debe aplicarse a todas las máquinas que ejecutan IIS 5.0. Aunque esto obviamente incluye servidores web, vale la pena tener en cuenta que IIS 5.0 también se puede ejecutar en otros tipos de servidores, especialmente los servidores de correo que ejecutan Exchange 2000.
Factores de mitigación:
- El efecto de un ataque a través de esta vulnerabilidad sería temporal. El servidor reanudaría automáticamente el servicio normal en cuanto las solicitudes con formato incorrecto dejaban de llegar.
- La vulnerabilidad no proporciona a un atacante ninguna capacidad para llevar a cabo solicitudes de WebDAV.
- La vulnerabilidad no proporciona ninguna capacidad para poner en peligro los datos en el servidor ni obtener control administrativo sobre él.
Identificador de vulnerabilidad:CAN-2001-0151
Versiones probadas
Microsoft probó IIS 5.0 para evaluar si se vio afectado por esta vulnerabilidad. WebDAV no se distribuyó en IIS 4.0 ni en ninguna versión anterior.
Preguntas más frecuentes
¿Cuál es el ámbito de esta vulnerabilidad?
Se trata de una vulnerabilidad de denegación de servicio . Si un atacante aprovecha esta vulnerabilidad contra un servidor afectado, podría impedir temporalmente que proporcione servicios web. El efecto de un ataque a través de esta vulnerabilidad solo duraría tanto como un flujo continuo de solicitudes se dirigió a un servidor afectado, después del cual el servicio normal se reanudaría automáticamente. La vulnerabilidad no proporciona ningún medio para agregar, eliminar o cambiar datos en el servidor o usurp el control administrativo sobre él.
¿Qué causa la vulnerabilidad?
Los resultados de la vulnerabilidad porque WebDAV no procesa correctamente una solicitud que se ha formado de forma incorrecta de una manera determinada. Al enviar un flujo continuo de estas solicitudes, incluso a una velocidad relativamente baja, se podría consumir toda la disponibilidad de CPU del servidor.
¿Qué es WebDAV?
Para explicar lo que es WebDAV, primero es necesario analizar HTTP. HTTP, o Protocolo de transferencia de hipertexto, es el protocolo estándar del sector por el que se comunica el contenido web. Permite a los clientes solicitar contenido web y permite que los servidores web proporcionen el contenido o indiquen al cliente por qué no pudo proporcionarlo.
WebDAV es una extensión para la especificación HTTP. "DAV" en "WebDAV" significa "creación distribuida y control de versiones", y agrega una funcionalidad para que los usuarios autorizados agreguen y administren contenido de forma remota en un servidor web. WebDAV es totalmente compatible con Windows 2000 y se distribuye como parte del producto.
¿Qué pasa con WebDAV?
WebDAV no controla correctamente un tipo determinado de solicitud especialmente con formato incorrecto. Si se envió un flujo continuo de estas solicitudes a un servidor afectado, podría degradar el rendimiento del servidor hasta el punto en el que no podría realizar un trabajo útil.
¿Qué permitiría a un atacante hacer?
Un atacante podría usar esta vulnerabilidad para interrumpir temporalmente el servicio en un servidor afectado. Durante este ataque, el servidor no podría atender las sesiones HTTP existentes o aceptar nuevas.
¿Cuánto tiempo duraría el efecto de un ataque?
El efecto del ataque solo duraría mientras el atacante continuara dirigendo las solicitudes de WebDAV con formato incorrecto en el servidor. Una vez que las solicitudes dejaron de llegar, el servidor reanudaría el funcionamiento normal. No sería necesario que el operador realice ninguna acción.
¿No es un ataque de inundación?
No. Este escenario es similar a un ataque de inundación, en el sentido de que implica que el atacante envía un flujo continuo de solicitudes. Sin embargo, en un ataque de inundación, normalmente es necesario que el atacante gaste aproximadamente la misma cantidad de recursos que los que quiere denegar en el servidor. Por ejemplo, los ataques de inundación suelen requerir que el atacante dedique una máquina para cada servidor al que desea atacar. Sin embargo, en este caso, el atacante tendría que gastar relativamente pocos recursos para atacar una máquina afectada.
Quién podría aprovechar la vulnerabilidad?
El único requisito previo para aprovechar la vulnerabilidad es la capacidad de entregar las solicitudes de WebDAV con formato incorrecto a un servidor afectado. No sería necesario que el atacante se autentique en la máquina.
¿Esta vulnerabilidad permitiría a un atacante realizar alguna acción en un sistema afectado?
No. Se trata estrictamente de una vulnerabilidad de denegación de servicio. No hay ninguna capacidad de usar esta vulnerabilidad para poner en peligro los datos en el sistema o para realizar cualquier tipo de acción administrativa en él.
¿WebDAV está instalado y ejecutándose de forma predeterminada?
Sí. WebDAV se instala de forma predeterminada en servidores web IIS5.
¿Afecta esta vulnerabilidad a IIS 4.0?
No. WebDAV no se distribuyó como parte de IIS4.0.
¿Hay otros servidores afectados por esta vulnerabilidad?
Exchange 2000 Server utiliza IIS 5.0 para proporcionar servicios de Outlook Web Access (OWA). Los servidores de Exchange 2000 que proporcionan servicios de OWA deben considerar la posibilidad de instalar esta revisión para proteger sus servicios iiS 5.0 de este vulnerability.bb
Cuando este boletín se publicó originalmente, proporcionó una solución alternativa en lugar de una revisión. Si he aplicado la solución alternativa, ¿necesito la revisión?
La solución alternativa (que se describe en el artículo de Microsoft Knowledge Base Q241520) es una manera eficaz de defenderse de esta vulnerabilidad y los clientes pueden usarla si lo desea. En concreto, es posible que los clientes que usen una versión de idioma para la que una revisión aún no esté disponible deseen seguir usando la solución alternativa.
Sin embargo, en general, es mejor usar la revisión que la solución alternativa. La revisión corrige el error en WebDAV, donde la solución alternativa la deshabilita por completo. Aunque deshabilitar WebDAV no impediría que un servidor IIS o Exchange ofreciera servicios web, impediría que se procesen las solicitudes de WebDAV y esto podría provocar la pérdida de características como las siguientes:
- Carpetas web
- Publicación en el sitio web con Office 2000 (pero no a través de extensiones de servidor de FrontPage)
- Supervisión de un servidor IIS 5.0 mediante el panel digital
Ya he implementado la solución alternativa, pero me gustaría aplicar la revisión. ¿Cómo puedo devolver mi sistema al estado en el que estaba antes de aplicar la solución alternativa?
Si ha aplicado la solución alternativa y ahora desea aplicar la revisión y volver a habilitar WebDav, consulte "Pasos para volver a habilitar WebDAV" en el artículo de KB Q241520.
Disponibilidad de revisiones
Ubicaciones de descarga de esta revisión
Microsoft IIS 5.0:
Información adicional sobre esta revisión
Plataformas de instalación:
Esta revisión se puede instalar en sistemas que ejecutan Windows 2000 Gold y Service Pack 1.
Inclusión en futuros Service Packs:
Esta corrección se incluirá en Windows 2000 Service Pack 2.
Revisiones reemplazadas:
Esta revisión reemplaza a la proporcionada en el Boletín de seguridad de Microsoft MS01-014.
Comprobación de la instalación de revisiones:
Para comprobar que la revisión se ha instalado en la máquina, confirme que se ha creado la siguiente clave del Registro en el equipo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Novedades\Windows 2000\SP1\291845.
Para comprobar los archivos individuales de la revisión, use la información de fecha y hora y versión proporcionada en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Novedades\Windows 2000\SP1\291845\Filelist.
Advertencias:
None
Localización:
Las versiones localizadas de esta revisión están en desarrollo. Cuando se complete, estarán disponibles en las ubicaciones descritas en "Obtención de otras revisiones de seguridad".
Obtención de otras revisiones de seguridad:
Las revisiones de otros problemas de seguridad están disponibles en las siguientes ubicaciones:
- Las revisiones de seguridad están disponibles en el Centro de descarga de Microsoft y se pueden encontrar con más facilidad mediante una búsqueda de palabras clave para "security_patch".
- Las revisiones también están disponibles en el sitio web de WindowsUpdate
Otra información:
Soporte técnico:
- El artículo de Microsoft Knowledge Base 291845 describe este problema y estará disponible aproximadamente 24 horas después del lanzamiento de este boletín. Los artículos de Knowledge Base se pueden encontrar en el sitio web de Soporte técnico en línea de Microsoft.
- En el artículo de Microsoft Knowledge Base Q241520 se describe una solución alternativa para esta vulnerabilidad.
- El soporte técnico está disponible en los Servicios de soporte técnico de Microsoft. No hay ningún cargo por las llamadas de soporte técnico asociadas a las revisiones de seguridad.
Recursos de seguridad: el sitio web de seguridad de Microsoft TechNet proporciona información adicional sobre la seguridad en los productos de Microsoft.
Renuncia:
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones:
- V1.0 (08 de marzo de 2001): Boletín creado.
- V2.0 (13 de marzo de 2001): el boletín se emitió originalmente con información alternativa; Revisado en esta fecha para reflejar la disponibilidad de una revisión.
- V2.1 (20 de abril de 2001): Boletín actualizado para proporcionar información sobre la revisión reemplazada.
- V2.2 (23 de junio de 2003): se actualizaron los vínculos de descarga de Windows Update.
Compilado en 2014-04-18T13:49:36Z-07:00