Microsoft IIS4 "Session ID Cookie Marking" Patch de vulnerabilidade

Elimine uma vulnerabilidade de segurança no Microsoft Internet Information Server.
Baixe Agora

Microsoft IIS4 "Session ID Cookie Marking" Patch de vulnerabilidade Classificação e resumo

Propaganda

  • Rating:
  • Licença:
  • Free
  • Nome do editor:
  • Microsoft
  • Site do editor:
  • http://www.microsoft.com/
  • Sistemas operacionais:
  • Windows NT
  • Tamanho do arquivo:
  • 2.63MB

Microsoft IIS4 "Session ID Cookie Marking" Patch de vulnerabilidade Tag


Microsoft IIS4 "Session ID Cookie Marking" Patch de vulnerabilidade Descrição

Da Microsoft: Esse patch elimina uma vulnerabilidade de segurança no Microsoft Internet Information Server que permitiria que um usuário mal-intencionado sequestre a sessão web seguro de outro usuário em um conjunto muito restrito de circunstâncias.Iis suporta o uso de um cookie de identificação de sessão para rastrear o identificador de sessão atual para uma sessão da Web. No entanto, o ASP no IIS não suporta a criação de cookies de identificação de sessão segura, conforme definido no RFC 2109. Como resultado, páginas seguras e não seguras no mesmo site usam o mesmo ID de sessão. Se um usuário iniciar uma sessão com uma página web segura, um cookie de ID de sessão seria gerado e enviado para o usuário, protegido por SSL. Mas se o usuário visitasse posteriormente uma página não segura no mesmo site, o cookie da identificação da sessão seria trocado, desta vez em texto simples. Se um usuário malicioso tiver controle total sobre o canal de comunicação, ele poderia ler o cookie de identificação de sessão de texto simples e usá-lo para se conectar à sessão do usuário com a página segura. Nesse ponto, ele poderia tomar qualquer ação na página segura que o usuário pudesse levar. As condições sob as quais essa vulnerabilidade poderia ser explorada são bastante assustadoras. O usuário malicioso precisaria ter controle total sobre as comunicações do outro usuário com o site. Mesmo assim, o usuário malicioso não pôde fazer a conexão inicial com a página segura; Apenas o usuário legítimo poderia fazer isso. O patch elimina a vulnerabilidade adicionando suporte para cookies de identificação de sessão segura nas páginas ASP. (Os cookies seguros já são suportados para todos os outros tipos de cookies, sob todas as outras tecnologias no IIS). Veja o FAQ para mais informações.


Microsoft IIS4 "Session ID Cookie Marking" Patch de vulnerabilidade Software Relacionado

Saft.

Execute a análise forense lógica e extraia informações valiosas do dispositivo Android em um clique. ...

295 8.93MB

Download

Sobre nós