Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Software skärmdump:
Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch
Mjukvaruinformation:
Version: (MS00-080)
Ladda upp dagen: 6 Dec 15
Utvecklare: Microsoft
Licens: Gratis
Popularitet: 75
Storlek: 2693 Kb

Rating: 2.0/5 (Total Votes: 2)

Denna patch åtgärdar en säkerhetslucka i Microsoft Internet Information Server som skulle tillåta en angripare att kapa en annan användares säkra webbsession under mycket begränsad uppsättning omständigheter.

IIS stöder användning av ett sessions-ID cookies för att spåra den aktuella sessionen identifierare för en webbsession. Men, ASP i IIS inte stödja skapandet av säkra session ID cookies enligt RFC 2109. Som ett resultat, säkra och icke-säkra sidor på samma webbplats använder samma session ID. Om en användare inlett en session med en säker webbsida, skulle genereras ett sessions-ID cookie och skickas till användaren, som skyddas av SSL. Men om användaren senare besökte en icke-säker sida på samma plats, skulle samma session ID cookies bytas, denna gång i klartext. Om en angripare hade fullständig kontroll över kommunikationskanalen, kunde han läsa klartext sessions-ID cookie och använda den för att ansluta till användarens session med säker sida. Vid den tidpunkten kunde han vidta några åtgärder på den säkra sidan att användaren kan ta.

Villkoren för denna sårbarhet kan utnyttjas är ganska skrämmande. Den angripare skulle behöva ha fullständig kontroll över andra användares kommunikation med webbplatsen. Även då kan den skadliga användaren inte göra den första anslutningen till den säkra sidan; bara den legitima användaren kunde göra det. Plåstret eliminerar sårbarheten genom att lägga till stöd för säker session ID cookies i ASP-sidor. (Secure cookies redan stöds för alla andra typer av cookies, under alla andra tekniker i IIS). .

Se FAQ för mer information

Krav :

Windows NT 4.0, Internet Information Server 4.0

Stödda operativsystem

Liknande mjukvara

ApreoFlex
ApreoFlex

29 Oct 15

DEKSI Shield
DEKSI Shield

6 May 15

Screen Pass
Screen Pass

28 May 15

WebTimer
WebTimer

29 Oct 15

Annan programvara för utvecklare Microsoft

Kommentarer till Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Kommentarer hittades inte
Kommentar
Slå på bilder!