Se reportó una vulnerabilidad en RSA Authentication Agent for Web para IIS, que puede explotarse para ocasionar una negación de servicio (DoS) y podría comprometerse un sistema vulnerable.
H.D. Moore,
Metasploit Project
RSA Authentication Agent for Web | <= | 5.3 |
H.D. Moore reportó una vulnerabilidad en RSA Authentication Agent for Web para IIS, que puede explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) y podría comprometerse un sistema vulnerable.
La vulnerabilidad es ocasionada por un error en el manejo de los límites de la memoria en IISWebAgentIF.dll. Esto puede explotarse para ocasionar un desbordamiento de memoria en el area de la pila via un apetición GET con una "url" muy larga dentro del metodo "Redirect".
La vulnerabilidad se reportó en la versión 5.2 y 5.3. Otras versiones también podrían ser afecadas.
NOTA: Se ha publicado un exploit para esta vulnerabilidad.
Negación de servicio (DoS).
Acceso al sistema.
El vendedor indicó que hay una actualizaciómn disponible.
https://knowledge.rsasecurity.com/cleartrust/ct_logon.asp-CTAuthMode=BASIC&ct_orig_uri=%2Fdlcpages%2Frsa_securid%2Fsecurid_dlc_aaweb.asp
Mayor información.
http://www.metasploit.com/projects/Framework/exploits.html#rsa_iiswebagent_redirectLa Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT