Microsoft IIS5 "Session ID Cookie Marking" Patch de vulnerabilidade Elimine uma vulnerabilidade de segurança no Microsoft Internet Information Server.
Baixe Agora

Microsoft IIS5 "Session ID Cookie Marking" Patch de vulnerabilidade Classificação e resumo

Microsoft IIS5 "Session ID Cookie Marking" Patch de vulnerabilidade Tag

Vulnerabilidade do servidor Server Informações da Internet

Microsoft IIS5 "Session ID Cookie Marking" Patch de vulnerabilidade Descrição

Da Microsoft: Esse patch elimina uma vulnerabilidade de segurança no Microsoft Internet Information Server que permitiria que um usuário mal-intencionado sequestre a sessão web seguro de outro usuário em um conjunto muito restrito de circunstâncias.Iis suporta o uso de um cookie de identificação de sessão para rastrear o identificador de sessão atual para uma sessão da Web. No entanto, o ASP no IIS não suporta a criação de cookies de identificação de sessão segura, conforme definido no RFC 2109. Como resultado, páginas seguras e não seguras no mesmo site usam o mesmo ID de sessão. Se um usuário iniciar uma sessão com uma página web segura, um cookie de ID de sessão seria gerado e enviado para o usuário, protegido pelo SSL. Mas se o usuário visitasse posteriormente uma página não segura no mesmo site, o cookie da identificação da sessão seria trocado, desta vez em texto simples. Se um usuário malicioso tiver controle total sobre o canal de comunicação, ele poderia ler o cookie de identificação de sessão de texto simples e usá-lo para se conectar à sessão do usuário com a página segura. Nesse ponto, ele poderia tomar qualquer ação na página segura que o usuário pudesse levar. As condições sob as quais essa vulnerabilidade poderia ser explorada são bastante assustadoras. O usuário malicioso precisaria ter controle total sobre as comunicações do outro usuário com o site. Mesmo assim, o usuário malicioso não pôde fazer a conexão inicial com a página segura; Apenas o usuário legítimo poderia fazer isso. O patch elimina a vulnerabilidade adicionando suporte para cookies de identificação de sessão segura nas páginas ASP. (Os cookies seguros já são suportados para todos os outros tipos de cookies, sob todas as outras tecnologias no IIS). Leia o FAQ para mais informações.

Microsoft IIS5 "Session ID Cookie Marking" Patch de vulnerabilidade Software Relacionado