MS02-062: Octubre de 2002, Revisión acumulativa para Servicios de Internet Information Server

Microsoft ha publicado una revisión acumulativa para Internet Information Server (IIS) 4.0, Internet Information Services (IIS) 5.0 e IIS 5.1 que incorpora actualizaciones para los problemas descritos en los siguientes artículos de Microsoft Knowledge Base: Esta revisión no sólo incluye revisiones de la seguridad anteriormente publicadas, sino también las correcciones para las siguientes vulnerabilidades de la seguridad recién descubiertas que afectan a IIS 4.0, 5.0 y 5.1:

• Hay una vulnerabilidad de elevación de privilegios que afecta a la forma en que las ISAPI se inician cuando se configura un servidor IIS 4.0, 5.0 o 5.1 para ejecutarlas fuera de proceso. Por diseño, el proceso de alojamiento (Dllhost.exe) sólo se ejecuta en el contexto de seguridad de la cuenta IWAM_nombredeequipo; no obstante, en determinadas circunstancias, se puede crear para que adquiera privilegios de LocalSystem, permitiendo, por lo tanto, que una ISAPI haga lo mismo.
• Hay una vulnerabilidad de denegación de servicio que se produce por un error en la manera en que IIS 5.0 y 5.1 asignan memoria para solicitudes WebDAV. Si una solicitud WebDAV está mal formulada de una manera concreta, IIS asigna una cantidad extremadamente grande de memoria en el servidor. Con el envío de varias de estas solicitudes, un atacante podría hacer que el servidor fallara.
• Hay una vulnerabilidad relacionada con el funcionamiento del permiso de acceso al código fuente de las secuencias de comandos en IIS 5.0. Este permiso opera junto con el permiso típico de lectura/escritura para un directorio virtual, y regula si las secuencias de comandos, archivos .ASP y tipos de archivo ejecutables se pueden cargar en un directorio virtual habilitado para escritura. Hay un error tipográfico en la tabla que define los tipos de archivos que están sujetos a este permiso que omite los archivos .COM de la lista de archivos sujetos al permiso. Como resultado, el usuario sólo necesita acceso de escritura para cargar archivos de este tipo.
• Hay un par de vulnerabilidades relacionadas con las secuencias de comandos entre sitios (CSS, Cross-Site Scripting) que afectan a IIS 4.0, 5.0 y 5.1, y que tienen que ver con la página Web administrativa. Cada una de estas vulnerabilidades tiene el mismo alcance y efecto: cuando un usuario hace clic en un vínculo en el sitio Web de un atacante, el atacante puede retransmitir una solicitud que contiene una secuencia de comandos a un sitio Web de terceros donde se ejecuta IIS, lo que provoca que la respuesta del sitio de terceros (que sigue incluyendo la secuencia de comandos) se envíe al usuario. La secuencia de comandos se procesa entonces con la configuración de seguridad del sitio de terceros en lugar de con la del sitio del atacante.

De manera adicional, la revisión provoca que IIS 5.0 y 5.1 cambien la frecuencia con que la lista de registros del socket mantiene la lista de solicitudes pendientes de conexión. La lista de registros del socket se borra cuando todas las conexiones de un servidor están asignadas. La revisión cambia IIS para que borre la lista con mayor frecuencia y de este modo sea más resistente a los ataques de inundación. La característica de supervisión de registros no está presente en IIS 4.0.

NOTA: estas revisiones no incluyen correcciones de vulnerabilidades que impliquen productos que no sean IIS, como Extensiones de servidor de Microsoft FrontPage y Microsoft Index Server, aunque estos productos estén estrechamente asociados con IIS y se instalen normalmente en los servidores de IIS. Sin embargo, hay una excepción. La corrección para la vulnerabilidad que afecta a Index Server, que se describe en el boletín de seguridad Microsoft Security Bulletin MS01-003, se incluye en esta revisión por la gravedad del problema para los servidores de IIS. En el momento en que se escribió este artículo, los boletines de seguridad de Microsoft en los que se describen estas vulnerabilidades eran los siguientes: Todas las correcciones y revisiones acumulativas anteriormente enumeradas se incluyen en Windows 2000 Service Pack 3. Para obtener información adicional acerca del Service Pack más reciente de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: NOTA: las correcciones para las siguientes vulnerabilidades que afectan a IIS 4.0 no están incluidas en la revisión porque requieren una acción administrativa, no un cambio de software. Los administradores deben asegurarse de que, además de aplicar esta revisión, también realizan la acción administrativa descrita en los boletines siguientes:

• Servicios de Internet Information Server 5.1
• Servicios de Internet Information Server 5.0
• Internet Information Server 4.0

Servicios de Internet Information Server 5.1

Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en equipos que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el boletín de seguridad Microsoft Security Bulletin asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible. De lo contrario, espere al siguiente Service Pack de Windows XP que contenga la revisión.

Para resolver este problema inmediatamente, descargue la revisión siguiendo las instrucciones incluidas más adelante en este artículo o póngase en contacto con los Servicios de soporte técnico de Microsoft para obtenerla. Para obtener una lista completa con los números de teléfono del Servicio de soporte técnico de Microsoft e información acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:NOTA: en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

Información de descarga

Los archivos siguientes pueden descargarse del Centro de descarga de Microsoft:

Windows XP ProfessionalWindows XP 64-Bit Edition Fecha de aparición: 30 de octubre de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. El archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Información acerca de la instalación

Si aparece un cuadro de diálogo que le dice que tiene que reiniciar el equipo después de aplicar esta actualización, puede ignorarlo. La actualización admite los siguientes modificadores para el programa de instalación:

• /?: muestra la lista de modificadores de instalación.
• /u: modo desatendido.
• /f: se exige el cierre de otros programas cuando se apaga el equipo.
• /n: no se hace copia de seguridad de los archivos para la desinstalación.
• /o: se sobrescriben los archivos OEM sin solicitar confirmación.
• /z: no se reinicia cuando se completa la instalación.
• /q: modo silencioso (sin intervención del usuario).
• /l: se muestran las revisiones instaladas.
• /x: se extraen los archivos sin ejecutar el programa de instalación.

Por ejemplo, la siguiente línea de comandos instala la actualización sin que intervenga el usuario y, después, no hace que se reinicie el equipo:

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. La fecha y la hora de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora en Panel de control.

Windows XP Professional

Los siguientes archivos se instalan en la carpeta %WINDIR%\System32\inetsrv: Los siguientes archivos se instalan en la carpeta %WINDIR%\Help\iisHelp\iis\misc: Windows XP 64-Bit Edition

Los siguientes archivos se instalan en la carpeta %WINDIR%\System32\inetsrv: Los siguientes archivos se instalan en la carpeta %WINDIR%\Help\iisHelp\iis\misc:

Servicios de Internet Information Server 5.0

Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en equipos que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el boletín de seguridad Microsoft Security Bulletin asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible. De lo contrario, espere al siguiente Service Pack de Windows 2000 que contenga esta revisión.

Para resolver este problema inmediatamente, descargue la revisión siguiendo las instrucciones incluidas más adelante en este artículo o póngase en contacto con los Servicios de soporte técnico de Microsoft para obtenerla. Para obtener una lista completa con los números de teléfono del Servicio de soporte técnico de Microsoft e información acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:NOTA: en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

Información de descarga

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Fecha de aparición: 30 de octubre de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. El archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Información acerca de la instalación

Debido a las interdependencias entre archivos, esta actualización requiere el Service Pack 2 (SP2) o el Service Pack 3 (SP3) de Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Los clientes que usan Site Server deben saber que un problema previamente documentado que implica errores de autenticación intermitentes afecta a esta revisión y a un pequeño número de otras revisiones. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: No es necesario que reinicie el equipo una vez aplicada esta actualización. La actualización admite los siguientes modificadores para el programa de instalación:

• /?: muestra la lista de modificadores de instalación.
• /u: modo desatendido.
• /f: se exige el cierre de otros programas cuando se apaga el equipo.
• /n: no se hace copia de seguridad de los archivos para la desinstalación.
• /o: se sobrescriben los archivos OEM sin solicitar confirmación.
• /z: no se reinicia cuando se completa la instalación.
• /q: modo silencioso (sin intervención del usuario).
• /l: se muestran las revisiones instaladas.
• /x: se extraen los archivos sin ejecutar el programa de instalación.

Por ejemplo, la siguiente línea de comandos instala la actualización sin que intervenga el usuario y, después, no hace que se reinicie el equipo:

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. La fecha y la hora de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora en Panel de control.

Los siguientes archivos se instalaron en la carpeta %Windir%\System32\: El siguiente archivo se instaló en la carpeta Archivos de programa\Microsoft Shared\Web Server Extensions\40\bin: Los siguientes archivos se instalan en la carpeta %WINDIR%\Help\iisHelp\iis\misc: Los siguientes archivos se instalan en la carpeta %Windir%\System32\inetsrv:

Internet Information Server 4.0

Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en equipos que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el boletín de seguridad Microsoft Security Bulletin asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible.

Para solucionar este problema inmediatamente, haga clic en el vínculo de descarga de la revisión, que encontrará más adelante en este artículo, o póngase en contacto con los Servicios de soporte técnico de Microsoft con el fin de obtener la revisión. Para obtener una lista completa de la información y números de teléfono del Servicio de soporte técnico de Microsoft acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:NOTA: en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

Antes de aplicar esta actualización, haga una copia de seguridad de la metabase. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información de descarga

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Fecha de aparición: 30 de octubre de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. El archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Información acerca de la instalación

Esta actualización requiere Windows NT 4.0 Service Pack 6a. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para instalar esta revisión sin reiniciar el equipo, siga estos pasos:

1. Detenga todos los servicios de IIS.
2. Instale la revisión mediante el modificador /z.
3. Reinicie los servicios de IIS.

La actualización admite los siguientes modificadores para el programa de instalación:

• /x: extrae los archivos para una instalación posterior
• /y: realiza la desinstalación (sólo con /m or /q)
• /f: fuerza el cierre de aplicaciones al cierre del sistema
• /n: no crea el directorio de desinstalación
• /z: no se lleva a cabo el reinicio cuando se completa la actualización
• /q: modo silencioso (sin intervención del usuario)
• /m: modo desatendido
• /l: se muestran las revisiones instaladas

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. La fecha y la hora de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora en Panel de control.

Los siguientes archivos se instalan en la carpeta %WINDIR%\System32\inetsrv (a menos que se especifique lo contrario): NOTA: debido a las dependencias de archivos, esta actualización puede contener archivos adicionales.

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo.

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft: