Solicitud WebDAV con formato incorrecto puede ocasionar que IIS agote los recursos de CPU

Seleccione idioma Seleccione idioma
Id. de artículo: 291845 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Recomendamos encarecidamente que todos los usuarios actualizar a Microsoft Internet Information Services (IIS) versión 6.0 que se ejecutan en Microsoft Windows Server 2003. IIS 6.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Expandir todo | Contraer todo

Síntomas

World Wide Web Distributed Authoring and Versioning (WebDAV) es una extensión al protocolo HTTP que permite la creación remota y administración de Web contenido. En la implementación del protocolo en Windows 2000, Microsoft Internet Information Services (IIS) 5.0 realiza el procesamiento inicial de todas las solicitudes de WebDAV y a continuación, reenvía los comandos apropiados al proceso de WebDAV. Sin embargo, existe un defecto en la forma que WebDAV trata un determinado tipo de solicitud con formato incorrecto. Si una secuencia de dichas solicitudes con formato incorrecto se dirige a un servidor afectado, consume todo la disponibilidad en el servidor de la CPU.

Factores atenuantes :
  • El efecto de un ataque a través de esta vulnerabilidad es temporal. El servidor reanudará automáticamente el servicio normal tan pronto como las solicitudes con formato incorrecto detener llegan.
  • Esta vulnerabilidad no proporciona un atacante con cualquier capacidad para llevar a cabo sus solicitudes.
  • Esta vulnerabilidad no ofrece ninguna capacidad de comprometer los datos en el servidor o tener control administrativo sobre el servidor.
Microsoft recomienda que los clientes apliquen la revisión descrita en este artículo para los servidores que ejecutan IIS 5.0. Aunque esto incluye los servidores Web, otros servicios también pueden requerir que IIS 5.0 esté habilitado. Por ejemplo, Exchange 2000 Server utiliza IIS 5.0 para proporcionar servicios de Outlook Web Access (OWA). Por lo tanto, los equipos que ejecutan Exchange 2000 Server que proporcionan servicios OWA deben implementar la revisión para proteger sus servicios de IIS 5.0 de esta vulnerabilidad.

Solución

Para resolver este problema, obtenga el Service Pack más reciente de Windows 2000. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910Cómo obtener el Service Pack más reciente para Windows 2000
La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Date        Time    Version      Size     File name
   -----------------------------------------------------
   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll
				
importante : si anteriormente se realizaban la solución descrita en el artículo Q241520, el siguiente cuadro de diálogo puede aparecer cuando instala esta revisión:
Error de copia de instalación no puede copiar el archivo httpext.dll. Asegúrese de que la ubicación especificada abajo es correcta, o cámbiela e inserte "Archivos de sistema de Windows 2000" en la unidad que especifique. Copiar archivos desde: c:\%windir%\system32\inetsrv de (cuadro de abajo desplegable)
Para omitir este cuadro de diálogo, siga estos pasos para volver a habilitar WebDAV:
  1. Abra el Explorador de Windows.
  2. Vaya a la carpeta % SystemRoot%\System32\Inetsrv.
  3. Haga clic con el botón secundario en el archivo Httpext.dll y, a continuación, haga clic en Propiedades .
  4. Haga clic en la ficha seguridad .
  5. Seleccione todos y, a continuación, haga clic en Quitar .
  6. Active la casilla de verificación permitir permisos heredables del primario se propaguen a este objeto y, a continuación, haga clic en Aplicar .
  7. Haga clic en Aceptar para salir del cuadro de diálogo de Propiedades .

Solución

Para obtener más información acerca de cómo solucionar temporalmente este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
241520Cómo deshabilitar WebDAV para IIS 5.0

Estado

Microsoft ha confirmado que se trata de un problema de Microsoft Windows 2000. Este problema se corrigió por primera vez en el Service Pack 2 de Windows 2000.

Más información

Para obtener más información en esta vulnerabilidad, consulte el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx
Para obtener más información acerca de cómo instalar Windows 2000 y revisiones de Windows 2000 al mismo tiempo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
249149Instalar revisiones de Microsoft Windows 2000 y Windows 2000

Propiedades

Id. de artículo: 291845 - Última revisión: domingo, 9 de febrero de 2014 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbnosurvey kbarchive kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 291845

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com