Deze patch verwijdert een beveiligingslek in Microsoft Internet Information Server, dat zou een kwaadwillende gebruiker in staat om beveiligde Web-sessie van een andere gebruiker onder een zeer beperkte set van omstandigheden te kapen.
IIS ondersteunt het gebruik van een sessie ID cookie om de huidige sessie-id bijhouden voor een Web-sessie. Echter, ASP in IIS ondersteunt het creëren van veilige sessie-ID cookies zoals gedefinieerd in RFC 2109. Als gevolg hiervan, veilig en niet-beveiligde pagina's op dezelfde website gebruiken dezelfde sessie-ID. Als een gebruiker een sessie gestart met een beveiligde webpagina zou sessie ID cookie gegenereerd en verzonden naar de gebruiker beschermd met SSL. Maar als de gebruiker vervolgens een bezoek aan een niet-beveiligde pagina op dezelfde site, zou dezelfde sessie-ID cookies worden uitgewisseld, dit keer in plaintext. Als een kwaadwillende gebruiker volledige controle over het communicatiekanaal had, kon hij de plaintext sessie-ID cookies te lezen en te gebruiken om verbinding te maken met de sessie van de gebruiker met de beveiligde pagina. Op dat moment kon hij elke actie op de beveiligde pagina die de gebruiker zou kunnen nemen te nemen.
De voorwaarden waaronder dit beveiligingslek kan worden misbruikt zijn nogal ontmoedigend. De kwaadwillende gebruiker nodig zou hebben om de volledige controle over de communicatie van de andere gebruiker met de website te hebben. Zelfs dan kan de kwaadwillende gebruiker niet de eerste verbinding met de beveiligde pagina te maken; alleen de legitieme gebruiker kan dat doen. De patch verwijdert het beveiligingslek door het toevoegen van ondersteuning voor veilige sessie-ID cookies in ASP-pagina's. (Secure cookies al worden ondersteund voor alle andere soorten koekjes, onder alle andere technologieën in IIS). .
Zie de FAQ voor meer informatie
Eisen
Windows NT 4.0, Internet Information Server 4.0
Reacties niet gevonden