| Microsoft IIS4 "ID de sesión COOPERA DE COOPRAS" MATERIAL "Vulnerabilidad Elimina una vulnerabilidad de seguridad en Microsoft Internet Information Server. |
Descargar ahora |
Microsoft IIS4 "ID de sesión COOPERA DE COOPRAS" MATERIAL "Vulnerabilidad Clasificación y resumen
- Nombre del editor:
- Microsoft
- Sitio web del editor:
- http://www.microsoft.com/
- Sistemas operativos:
- Windows NT
- Tamaño del archivo:
- 2.63MB
Microsoft IIS4 "ID de sesión COOPERA DE COOPRAS" MATERIAL "Vulnerabilidad Etiquetas
Microsoft IIS4 "ID de sesión COOPERA DE COOPRAS" MATERIAL "Vulnerabilidad Descripción
De Microsoft: este parche elimina una vulnerabilidad de seguridad en Microsoft Internet Information Server que permitiría a un usuario malicioso secuestrar la sesión web segura de otro usuario en un conjunto muy restringido de circunstancias. Es compatible con el uso de una cookie de identificación de sesión para rastrear el identificador actual de la sesión para una sesión web. Sin embargo, ASP en IIS no admite la creación de cookies seguras de ID de sesión como se define en RFC 2109. Como resultado, las páginas seguras y no seguras en el mismo sitio web utilizan el mismo ID de sesión. Si un usuario inició una sesión con una página web segura, se generaría una cookie de ID de sesión y se enviaría al usuario, protegido por SSL. Pero si el usuario visitó posteriormente una página no segura en el mismo sitio, se intercambiaría la misma cookie de ID de sesión, esta vez en texto plante. Si un usuario malintencionado tenía un control completo sobre el canal de comunicaciones, pudo leer la cookie de ID de sesión de texto simple y usarla para conectarse a la sesión del usuario con la página Seguri. En ese momento, podría tomar cualquier acción en la página segura que el usuario podría tomar. Las condiciones bajo las cuales esta vulnerabilidad podría ser explotada es bastante desalentador. El usuario malicioso tendría que tener un control completo sobre las comunicaciones del otro usuario con el sitio web. Incluso entonces, el usuario malicioso no pudo realizar la conexión inicial a la página segura; Solo el usuario legítimo podría hacer eso. El parche elimina la vulnerabilidad agregando soporte para las cookies de ID de sesión seguras en páginas ASP. (Las cookies seguras ya están compatibles con todos los demás tipos de cookies, en todas las demás tecnologías en IIS). Consulte las Preguntas frecuentes para obtener más información.
Microsoft IIS4 "ID de sesión COOPERA DE COOPRAS" MATERIAL "Vulnerabilidad Software relacionado