Microsoft IIS5 "ID de sesión de la sesión Marcar el parche de vulnerabilidad" Elimina una vulnerabilidad de seguridad en Microsoft Internet Information Server.
Descargar ahora

Microsoft IIS5 "ID de sesión de la sesión Marcar el parche de vulnerabilidad" Clasificación y resumen

Microsoft IIS5 "ID de sesión de la sesión Marcar el parche de vulnerabilidad" Etiquetas

Vulnerabilidad del servidor servidor de información de internet

Microsoft IIS5 "ID de sesión de la sesión Marcar el parche de vulnerabilidad" Descripción

De Microsoft: este parche elimina una vulnerabilidad de seguridad en Microsoft Internet Information Server que permitiría a un usuario malicioso secuestrar la sesión web segura de otro usuario en un conjunto muy restringido de circunstancias. Es compatible con el uso de una cookie de identificación de sesión para rastrear el identificador actual de la sesión para una sesión web. Sin embargo, ASP en IIS no admite la creación de cookies seguras de ID de sesión como se define en RFC 2109. Como resultado, las páginas seguras y no seguras en el mismo sitio web utilizan el mismo ID de sesión. Si un usuario inició una sesión con una página web segura, se generaría una cookie de ID de sesión y se enviaría al usuario, protegido por SSL. Pero si el usuario visitó posteriormente una página no segura en el mismo sitio, se intercambiaría la misma cookie de ID de sesión, esta vez en texto plante. Si un usuario malintencionado tenía un control completo sobre el canal de comunicaciones, pudo leer la cookie de ID de sesión de texto simple y usarla para conectarse a la sesión del usuario con la página Seguri. En ese momento, podría tomar cualquier acción en la página segura que el usuario podría tomar. Las condiciones bajo las cuales esta vulnerabilidad podría ser explotada es bastante desalentador. El usuario malicioso tendría que tener un control completo sobre las comunicaciones del otro usuario con el sitio web. Incluso entonces, el usuario malicioso no pudo realizar la conexión inicial a la página segura; Solo el usuario legítimo podría hacer eso. El parche elimina la vulnerabilidad agregando soporte para las cookies de ID de sesión seguras en páginas ASP. (Las cookies seguras ya están compatibles con todos los demás tipos de cookies, en todas las demás tecnologías en IIS). Lea las preguntas frecuentes para obtener más información.

Microsoft IIS5 "ID de sesión de la sesión Marcar el parche de vulnerabilidad" Software relacionado