Page 45

UNIDAD 5 APACHE

- Denegación de servicios, DoS (IIS 5.0 y 5.1): Implicaciones: La explotación de esta vulnerabilidad permitiría a un atacante que el servidor web dejara de prestar servicios. La Autoría distribuida y control de versiones (Web-based Distributed Authoring and Versioning, WebDAV) es un conjunto de extensiones al protocolo HTTP/1.1, aprovechando el Lenguaje de marcación ampliable (XML), que especifican métodos, cabeceras y tipos que permiten a los usuarios modificar y gestionar archivos remotos en colaboración. Por ejemplo trabajar en documentos compartidos a través del web como si los datos estuvieran en un disco duro local. La vulnerabilidad de Denegación de Servicios (DoS) se produce por un fallo en la forma en que IIS 5.0 y 5.1 asigna memoria para las peticiones WebDAV. Si se realizan ciertas peticiones WebDAV malformadas se produce un consumo de memoria muy elevado, cuya reiteración puede acabar provocando la caida del servidor. Explotar esta vulnerabilidad provoca la perdida de todas las sesiones web que hubiera en curso, siendo necesario reiniciar el sistema para que el servidor vuelva a estar operativo. En esta ocasión IIS 4.0 no es vulnerable ya que no soporta WebDAV. - Uploads de ficheros .COM (IIS 5.0) Implicaciones: Permitiría a un atacante subir un ejecutable .COM en el servidor web sin necesidad de permisos adicionales. IIS mantiene una doble capa de protección para prevenir los uploads al servidor web. La primera es la configuración de escritura del directorio, ya que si el administrador del servidor no ha dado permisos de escritura al usuario, será imposible para éste subir cualquier tipo de fichero al servidor. Existe además una segunda capa de protección consistente en un filtro que previene la subida de algunos tipos de fichero potencialmente peligrosos, como pueden ser los scripts y ejecutables. Este tipo de ficheros requieren de un permiso adicional (script source access),

1.

41

Apache Server Unidad 5  

Sistemas Web

Apache Server Unidad 5  

Sistemas Web

Advertisement