Patch cumulativa per Internet Information Services

[peppoweb]

Microsoft ha rilasciato una patch cumulativa per le versioni 4.0, 5.0 e 5.1 di Internet Information Services (IIS), il server Web fornito con Windows NT 4.0, 2000 e Xp. La patch che comprende tutti i bugfix già rilasciati per IIS 4.0 a partire dall’Sp6a di Windows Nt 4.0; per IIS 5.0 a partire dall’Sp2 di Windows 2000, e per IIS 5.1. In aggiunta, corregge quattro nuove vulnerabilità, definite da Microsoft importanti.

La prima riguarda la possibilità di cross site scripting ed è relativa al messaggio di reindirizzamento verso un nuovo Url; è scarsamente critica per tutte le versioni di IIS qui considerate. La seconda è relativa a un buffer overrun per alcuni tipi di pagine Web richiamate dal server: si tratta di una vulnerabilità che affligge solo IIS 5.0, ed è definita moderata. La terza è un possibile denial of service legato all’errata gestione delle intestazioni di pagine Asp, e coinvolge IIS 4.0 e 5.0. La quarta, infine, è un possibile denial of service causato da richieste WebDAV eccessivamente lunghe; per IIS 5.0 e 5.1 si tratta di una vulnerabilità importante.

Le patch possono essere rimosse; non richiedono, in genere, il riavvio della macchina e saranno incluse in Windows 2000 Sp4 e Windows Xp Sp2.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-018.asp

Fonte: Pc Professionale