Präparierte URLs bringen Microsofts Webserver unter XP aus dem Tritt
Laut eienr Meldung lassen sich Microsofts Internet Information Services (IIS) durch eine fehlerhafte URL zum Absturz bringen.
Es genügt schon der mehrmalige Aufruf etwa von http://ip-adresse/_vti_bin/.dll/*/~0, um den Webserver kurzzeitig ins virtuelle Nirwana zu schicken. Betroffen ist allerdings nur Version 5.1, die in Windows XP Professional enthalten ist, standardmäßig aber nicht mitinstalliert wird. Zudem muss der Skriptzugriff auf das aufgerufene Verzeichnis auch erlaubt sein.
Heise-Security testete natürlich sofort mit Windows XP SP2, das Problem ließ sich nicht zuverlässig nachvollziehen, ein DoS-Angriff war nicht bei jedem Versuch, aber dennoch erfolgreich.
Dadurch, dass der IIS nach dem Crash automatisch neu startet, ist die Auswirkung eines Angriffs auch begrenzt, aber nervig. Allerdings könnte ein Angreifer den Server über ein Skript ständig torpedieren.
Problemlösung:
Ein Patch zum Beseitigen der Lücke ist nicht verfügbar, obwohl Microsoft nach Angaben des Entdeckers, Inge Henriksen, seit Januar dieses Jahres informiert ist. Als Workaround schlägt Henriksen vor, alle URLs auszufiltern, die ~0, ~1, ~2, ~3, ~4, ~5, ~6, ~7, ~8 oder ~9 enthalten.
Blog-Meldung zum Problem: http://ingehenriksen.blogspot.com/2005/12/micros…os-dll-url.html
Quelle: http://www.heise.de