Solicitud WebDAV con formato incorrecto puede ocasionar que IIS agote los recursos de CPU

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 291845
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Recomendamos encarecidamente que todos los usuarios actualizar a Microsoft Internet Information Services (IIS) versión 6.0 que se ejecutan en Microsoft Windows Server 2003. IIS 6.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:
Síntomas
World Wide Web Distributed Authoring and Versioning (WebDAV) es una extensión al protocolo HTTP que permite la creación remota y administración de Web contenido. En la implementación del protocolo en Windows 2000, Microsoft Internet Information Services (IIS) 5.0 realiza el procesamiento inicial de todas las solicitudes de WebDAV y a continuación, reenvía los comandos apropiados al proceso de WebDAV. Sin embargo, existe un defecto en la forma que WebDAV trata un determinado tipo de solicitud con formato incorrecto. Si una secuencia de dichas solicitudes con formato incorrecto se dirige a un servidor afectado, consume todo la disponibilidad en el servidor de la CPU.

Factores atenuantes :
  • El efecto de un ataque a través de esta vulnerabilidad es temporal. El servidor reanudará automáticamente el servicio normal tan pronto como las solicitudes con formato incorrecto detener llegan.
  • Esta vulnerabilidad no proporciona un atacante con cualquier capacidad para llevar a cabo sus solicitudes.
  • Esta vulnerabilidad no ofrece ninguna capacidad de comprometer los datos en el servidor o tener control administrativo sobre el servidor.
Microsoft recomienda que los clientes apliquen la revisión descrita en este artículo para los servidores que ejecutan IIS 5.0. Aunque esto incluye los servidores Web, otros servicios también pueden requerir que IIS 5.0 esté habilitado. Por ejemplo, Exchange 2000 Server utiliza IIS 5.0 para proporcionar servicios de Outlook Web Access (OWA). Por lo tanto, los equipos que ejecutan Exchange 2000 Server que proporcionan servicios OWA deben implementar la revisión para proteger sus servicios de IIS 5.0 de esta vulnerabilidad.
Solución
Para resolver este problema, obtenga el Service Pack más reciente de Windows 2000. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910Cómo obtener el Service Pack más reciente para Windows 2000
La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Date        Time    Version      Size     File name   -----------------------------------------------------   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll				
importante : si anteriormente se realizaban la solución descrita en el artículo Q241520, el siguiente cuadro de diálogo puede aparecer cuando instala esta revisión:
Error de copia de instalación no puede copiar el archivo httpext.dll. Asegúrese de que la ubicación especificada abajo es correcta, o cámbiela e inserte "Archivos de sistema de Windows 2000" en la unidad que especifique. Copiar archivos desde: c:\%windir%\system32\inetsrv de (cuadro de abajo desplegable)
Para omitir este cuadro de diálogo, siga estos pasos para volver a habilitar WebDAV:
  1. Abra el Explorador de Windows.
  2. Vaya a la carpeta % SystemRoot%\System32\Inetsrv.
  3. Haga clic con el botón secundario en el archivo Httpext.dll y, a continuación, haga clic en Propiedades .
  4. Haga clic en la ficha seguridad .
  5. Seleccione todos y, a continuación, haga clic en Quitar .
  6. Active la casilla de verificación permitir permisos heredables del primario se propaguen a este objeto y, a continuación, haga clic en Aplicar .
  7. Haga clic en Aceptar para salir del cuadro de diálogo de Propiedades .

Solución
Para obtener más información acerca de cómo solucionar temporalmente este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
241520Cómo deshabilitar WebDAV para IIS 5.0
Estado
Microsoft ha confirmado que se trata de un problema de Microsoft Windows 2000. Este problema se corrigió por primera vez en el Service Pack 2 de Windows 2000.
Más información
Para obtener más información en esta vulnerabilidad, consulte el siguiente sitio Web de Microsoft: Para obtener más información acerca de cómo instalar Windows 2000 y revisiones de Windows 2000 al mismo tiempo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
249149Instalar revisiones de Microsoft Windows 2000 y Windows 2000
DoS denegación de servicio revisión DAV distribuido de creación y control de versiones

Propiedades

Id. de artículo: 291845 - Última revisión: 02/09/2014 21:08:29 - Revisión: 3.2

Microsoft Internet Information Services 5.0

  • kbnosurvey kbarchive kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtes
Comentarios