Schwerwiegende Fehler in IIS 5 und 6


Microsoft bestätigt schweren Fehler in IIS – Gefahr bestünde nur bestimmte Konfigurationen

(CW) Microsoft bestätigte bereits gestern abend, dass die hauseigenen Internetinformationsdienste (IIS), eine Webserver-Plattform, einen schwerwiegenden Fehler enthielten, der es Angreifern ermöglichen kann, Daten zu entwenden.

Durch eine manipulierte HTTP-Anfrage an den Server erfordert die Website zunächst eine Anmeldung, gewährt dann aber ungehinderten Zugriff auf die hinterlegten Ressourcen. Betroffen sei jedoch nur eine bestimmte Konfiguration von IIS, spielt Microsoft das Problem herunter.


Erst kurz zuvor haben Cisco und das US-CERT vor einem Fehler in IIS 6 gewarnt, der ausgenutzt werden konnte, um Dateien auf dem Server anzusehen und hochzuladen. Laut Microsoft ist das Problem auf  eine WebDAV-Komponente zurückzuführen, worüber Dokumente per HTTP ausgetauscht werden können. Die Funktion wird auch von Exchange 2003 genutzt, um Den Posteingang im Browser anzuzeigen.

Ferner sind auch die älteren IIS der Versionen 5 und 5.1 betroffen, in der Version 7 sollen die kürzlich entdeckten Lücken nicht bestehen.