 | Microsoft IIS5 "Session ID Cookie Marking" AnfälligkeitsfleckBeseitigen Sie eine Sicherheitsanfälligkeit in Microsoft Internet Information Server. |
| Jetzt downloaden | |
Microsoft IIS5 "Session ID Cookie Marking" Anfälligkeitsfleck Ranking & Zusammenfassung
Anzeige
- Lizenz:
- Free
- Name des Herausgebers:
- Microsoft
- Website des Verlags:
- http://www.microsoft.com/
- Betriebssysteme:
- Windows 2000
- Dateigröße:
- 550.95K
Microsoft IIS5 "Session ID Cookie Marking" Anfälligkeitsfleck Stichworte
Microsoft IIS5 "Session ID Cookie Marking" Anfälligkeitsfleck Beschreibung
Von Microsoft: Dieser Patch beseitigt eine Sicherheitsanfälligkeit in Microsoft Internet Information Server, mit der einem schädlichen Benutzer eine andere Benutzer-Web-Sitzung eines anderen Benutzers unter einem sehr eingeschränkten Satz von Umständen ermöglichen würde.IR unterstützt die Verwendung eines Sitzungs-ID-Cookie, um die aktuelle Sitzungskennung zu verfolgen für eine Web-Sitzung. ASP in IIS unterstützt jedoch nicht die Erstellung sicherer Sitzungs-ID-Cookies wie in RFC 2109. Infolgedessen verwenden sichere und nicht sichere Seiten auf derselben Website dieselbe Sitzungs-ID. Wenn ein Benutzer eine Sitzung mit einer sicheren Webseite initiiert hat, wird ein Sitzungs-ID-Cookie generiert und an den Benutzer gesendet, der von SSL geschützt ist. Wenn der Benutzer jedoch anschließend eine nicht sichere Seite auf derselben Site besucht hat, wird derselbe Sitzungs-ID-Cookie dieses Mal in Klartext ausgetauscht. Wenn ein bösartiger Benutzer den Kommunikationskanal vollständige Kontrolle hatte, konnte er den Klartext-Sitzungs-ID-Cookie lesen und mit der sicheren Seite mit der Sitzung des Benutzers herstellen. Zu diesem Zeitpunkt konnte er auf der sicheren Seite eingehen, dass der Benutzer dauern kann. Die Bedingungen, unter denen diese Sicherheitsanfälligkeit genutzt werden könnte, ist eher entmutigend. Der böswillige Benutzer müsste über die Kommunikation des anderen Benutzers mit der Website mit der Website verfügen. Selbst dann konnte der bösartige Benutzer die anfängliche Verbindung nicht auf die sichere Seite erstellen. Nur der legitime Benutzer könnte das tun. Der Patch beseitigt die Sicherheitsanfälligkeit, indem Sie Unterstützung für die sicheren Sitzungs-ID-Cookies in ASP-Seiten hinzufügen. (Secure Cookies werden bereits für alle anderen Arten von Cookies unter allen anderen Technologien in IIS unterstützt). Lesen Sie die FAQ für weitere Informationen.
Microsoft IIS5 "Session ID Cookie Marking" Anfälligkeitsfleck Zugehörige Software
