Alert GCSA-09094 - Vulnerabilita' in Microsoft FTP Service per IIS
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09094
Data : 15 Ottobre 2009
Titolo : Vulnerabilita' in Microsoft FTP Service per IIS
(MS09-053)
******************************************************************
:: Descrizione del problema
Sono state identificate due vulnerabilita' in FTP Services in Microsoft
IIS, che potrebbero essere sfruttate per eseguire codice arbitrario e
compromettere un sistema vulnerabile, oppure causare Denyal of Service.
Le vulnerabilita' sono dovute ad un errore nel processare richieste di
liste di directory ricorsivamente e potrebbero permettere ad
un attaccante remoto l'esecuzione di codice arbitrario su una macchina
che ne sia affetta o provocare interruzione di servizio per Denial of
Service.
:: Software interessato
IIS 5.0 (FTP Service 5.0) on Microsoft Windows 2000 SP4
IIS 5.1 (FTP Service 5.1) on Windows XP SP2/SP3
IIS 5.1 (FTP Service 5.1) on Windows XP Professional x64 Edition SP2
IIS 6.0 (FTP Service 6.0) on Windows Server 2003 SP2
IIS 6.0 (FTP Service 6.0) on Windows Server 2003 x64 Edition SP2
IIS 6.0 (FTP Service 6.0) on Windows Server 2003 Itanium with SP2
IIS 7.0 (FTP Service 6.0) on Windows Vista (with SP1 or SP2)
IIS 7.0 (FTP Service 6.0) on Windows Vista x64 Edition (with SP1 or SP2)
IIS 7.0 (FTP Service 6.0) on Windows Server 2008 (32-bit) (with SP2)
IIS 7.0 (FTP Service 6.0) on Windows Server 2008 (x64) (with SP2)
IIS 7.0 (FTP Service 6.0) on Windows Server 2008 itanium (with SP2)
:: Impatto
Esecuzione di codice arbitrario
Possibile compromissione del sistema
Denial of Service
:: Soluzioni
Applicare gli aggiornamenti rilasciati da Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS09-053.mspx
:: Riferimenti
Microsoft Security Bulletin MS09-053
http://www.microsoft.com/technet/security/Bulletin/MS09-053.mspx
Secunia
http://secunia.com/advisories/36594
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2521
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3023
-----BEGIN PGP SIGNATURE-----
iQCVAwUBStcZpvOB+SpikaiRAQIrqgP/UbOZO9cR/AMTeYm02CWaS40Ujp5ozdqF
qYDIe724lNYUTE1wk+vkoWYzttuIPnMOSixZY9UcQCsKkniMpw1j8/C970Je80UH
tG1Cz1y3bPIOReqGyGEpxlu2bqf3Ilozs6XTrvt1dZ9CHETCZlJkLuHRFfPrwyC6
HOU1HoVckoY=
=EGCH
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09094
Data : 15 Ottobre 2009
Titolo : Vulnerabilita' in Microsoft FTP Service per IIS
(MS09-053)
******************************************************************
:: Descrizione del problema
Sono state identificate due vulnerabilita' in FTP Services in Microsoft
IIS, che potrebbero essere sfruttate per eseguire codice arbitrario e
compromettere un sistema vulnerabile, oppure causare Denyal of Service.
Le vulnerabilita' sono dovute ad un errore nel processare richieste di
liste di directory ricorsivamente e potrebbero permettere ad
un attaccante remoto l'esecuzione di codice arbitrario su una macchina
che ne sia affetta o provocare interruzione di servizio per Denial of
Service.
:: Software interessato
IIS 5.0 (FTP Service 5.0) on Microsoft Windows 2000 SP4
IIS 5.1 (FTP Service 5.1) on Windows XP SP2/SP3
IIS 5.1 (FTP Service 5.1) on Windows XP Professional x64 Edition SP2
IIS 6.0 (FTP Service 6.0) on Windows Server 2003 SP2
IIS 6.0 (FTP Service 6.0) on Windows Server 2003 x64 Edition SP2
IIS 6.0 (FTP Service 6.0) on Windows Server 2003 Itanium with SP2
IIS 7.0 (FTP Service 6.0) on Windows Vista (with SP1 or SP2)
IIS 7.0 (FTP Service 6.0) on Windows Vista x64 Edition (with SP1 or SP2)
IIS 7.0 (FTP Service 6.0) on Windows Server 2008 (32-bit) (with SP2)
IIS 7.0 (FTP Service 6.0) on Windows Server 2008 (x64) (with SP2)
IIS 7.0 (FTP Service 6.0) on Windows Server 2008 itanium (with SP2)
:: Impatto
Esecuzione di codice arbitrario
Possibile compromissione del sistema
Denial of Service
:: Soluzioni
Applicare gli aggiornamenti rilasciati da Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS09-053.mspx
:: Riferimenti
Microsoft Security Bulletin MS09-053
http://www.microsoft.com/technet/security/Bulletin/MS09-053.mspx
Secunia
http://secunia.com/advisories/36594
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2521
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3023
-----BEGIN PGP SIGNATURE-----
iQCVAwUBStcZpvOB+SpikaiRAQIrqgP/UbOZO9cR/AMTeYm02CWaS40Ujp5ozdqF
qYDIe724lNYUTE1wk+vkoWYzttuIPnMOSixZY9UcQCsKkniMpw1j8/C970Je80UH
tG1Cz1y3bPIOReqGyGEpxlu2bqf3Ilozs6XTrvt1dZ9CHETCZlJkLuHRFfPrwyC6
HOU1HoVckoY=
=EGCH
-----END PGP SIGNATURE-----