home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / iis-GET-DoS.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  7.4 KB
  1. Date: Mon, 21 Dec 1998 15:56:44 -0600
  2. From: Rattle <rattle@TLORAH.NET>
  3. Reply-To: Bugtraq List <BUGTRAQ@netspace.org>
  4. To: BUGTRAQ@netspace.org
  5. Subject: Microsoft Security Bulletin (MS98-019) (fwd)
  6.  
  7. Another IIS DoS attack?  Of course!
  8.  
  9. ...
  10. . Nick Levay
  11. . rattle@tlorah.net
  12. . "There are two major products that come out of Berkeley:  LSD and UNIX.
  13. . We do not believe this to be a coincidence."
  14.  
  15.  
  16. >The following is a Security  Bulletin from the Microsoft Product Security
  17. >Notification Service.
  18. >
  19. >Please do not  reply to this message,  as it was sent  from an unattended
  20. >mailbox.
  21. >                    ********************************
  22. >
  23. >Microsoft Security Bulletin (MS98-019)
  24. >--------------------------------------
  25. >
  26. >Patch Available for IIS "GET" Vulnerability
  27. >
  28. >Originally Posted: December 21, 1998
  29. >
  30. >Summary
  31. >=======
  32. >Microsoft has released a patch that fixes a vulnerability in Microsoft(r)
  33. >Internet Information  Server(r) that could allow denial-of-service attacks
  34. >to be mounted against web servers.
  35. >
  36. >There have been no reports of customers being affected by this
  37. >vulnerability. However, Microsoft  is publishing this bulletin and
  38. releasing
  39. >the patch to allow customers to address the potential  security risk it
  40. >poses. As detailed below in What Customers Should Do, Microsoft recommends
  41. >that  users evaluate whether they are at risk from this attack and install
  42. >the patch if appropriate.
  43. >
  44. >Issue
  45. >=====
  46. >This vulnerability involves the HTTP GET method, which is used to obtain
  47. >information from an IIS  web server. Specially-malformed GET requests can
  48. >create a denial of service situation that  consumes all server resources,
  49. >causing a server to "hang." In some cases, the server can be put  back into
  50. >service by stopping and restarting IIS; in others, the server may need to
  51. be
  52. >rebooted.  This situation cannot happen accidentally. The malformed GET
  53. >requests must be deliberately  constructed and sent to the server. It is
  54. >important to note that this vulnerability does not  allow data on the
  55. server
  56. >to be compromised, nor does it allow any privileges on it to be usurped.
  57. >
  58. >Affected Software Versions
  59. >==========================
  60. > - Microsoft Internet Information Server, versions 3.0 and 4.0, on x86 and
  61. >Alpha platforms.
  62. >
  63. >What Microsoft is Doing
  64. >=======================
  65. >On December 21, Microsoft released a patch that fixes the problem. This
  66. >patch is available for  download from the sites listed below.  Please see
  67. >What Customers Should Do for additional  information on the patch.
  68. >
  69. >Microsoft has sent this security bulletin to customers subscribing
  70. >to the Microsoft Product Security Notification Service (see
  71. >http://www.microsoft.com/security/services/bulletin.asp for
  72. >more information about this free customer service).
  73. >
  74. >Microsoft has published the following Knowledge Base (KB) article on this
  75. >issue:
  76. > - Microsoft Knowledge Base (KB) article Q192296,
  77. >   IIS: Patch Available for IIS "GET" Vulnerability,
  78. >   http://support.microsoft.com/support/kb/articles/q192/2/96.asp.
  79. >   (Note: It might take 24 hours from the original posting of this
  80. >   bulletin for the updated KB article to be visible in the Web-based
  81. >   Knowledge Base.)
  82. >
  83. >Microsoft has released the following hot fixes:
  84. > - Fix for IIS 3.0 on X86 platforms:
  85. >   ftp://ftp.microsoft.com/bussys/iis/iis-public
  86. >   /fixes/usa/security/Infget-fix/infget3i.exe
  87. > - Fix for IIS 4.0 on X86 platforms:
  88. >   ftp://ftp.microsoft.com/bussys/iis/iis-public
  89. >   /fixes/usa/security/Infget-fix/infget4i.exe
  90. > - Fix for IIS 3.0 on Alpha platforms:
  91. >   ftp://ftp.microsoft.com/bussys/iis/iis-public
  92. >   /fixes/usa/security/Infget-fix/infget3a.exe
  93. > - Fix for IIS 4.0 on Alpha platforms:
  94. >   ftp://ftp.microsoft.com/bussys/iis/iis-public
  95. >   /fixes/usa/security/Infget-fix/infget4a.exe
  96. >(Note: the URLs above have been wrapped for readability)
  97. >
  98. >What Customers Should Do
  99. >========================
  100. >The patch for this vulnerability is fully supported. However, it has not
  101. >been fully regression  tested and should only be applied to systems
  102. >determined to be at risk of attack. A fully  regression-tested version of
  103. >the patch will be available as part of the next Windows NT service  pack.
  104. >
  105. >Microsoft recommends that customers evaluate the degree of risk that this
  106. >vulnerability poses to  their systems, based on physical accessibility,
  107. >network and Internet connectivity, and other  factors, and determine
  108. whether
  109. >the appropriate course of action is to apply the patch or wait for  the
  110. next
  111. >service pack.
  112. >
  113. >More Information
  114. >================
  115. >Please see the following references for more information related to this
  116. >issue.
  117. > - Microsoft Security Bulletin 98-019,
  118. >   Patch Available for IIS "GET" Vulnerability
  119. >   (the Web-posted version of this bulletin),
  120. >   http://www.microsoft.com/security/bulletins/ms98-019.asp.
  121. > - Microsoft Knowledge Base (KB) article Q192296,
  122. >   IIS: Patch Available for IIS "GET" Vulnerability,
  123. >   http://support.microsoft.com/support/kb/articles/q192/2/96.asp.
  124. >   (Note: It might take 24 hours from the original posting of this
  125. >   bulletin for the updated KB article to be visible in the Web-based
  126. >   Knowledge Base.)
  127. >
  128. >Obtaining Support on this Issue
  129. >===============================
  130. >This is a supported patch. If you have problems installing
  131. >this patch or require technical assistance with this patch,
  132. >please contact Microsoft Technical Support. For information
  133. >on contacting Microsoft Technical Support, please see
  134. >http://support.microsoft.com/support/contact/default.asp.
  135. >
  136. >Acknowledgements
  137. >================
  138. >Microsoft wishes to acknowledge the contribution made by
  139. >Brian Steele of Cable and Wireless Grenada, Ltd. (www.candw.com),
  140. >and Eugene Kalinin of the N. N.Burdenko Neurosurgery Institute,
  141. >who reported the problem to us.
  142. >
  143. >Revisions
  144. >=========
  145. > - December 21, 1998: Bulletin Created
  146. >
  147. >
  148. >For additional security-related information about Microsoft products,
  149. >please visit http://www.microsoft.com/security
  150. >
  151. >
  152. >---------------------------------------------------------------------------
  153. >
  154. >THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS
  155. IS"
  156. >WITHOUT WARRANTY OF  ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER
  157. >EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES  OF MERCHANTABILITY AND
  158. FITNESS
  159. >FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION  OR ITS
  160. >SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT,
  161. >INCIDENTAL,  CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES,
  162. >EVEN IF MICROSOFT CORPORATION OR ITS  SUPPLIERS HAVE BEEN ADVISED OF THE
  163. >POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE  EXCLUSION OR
  164. >LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE
  165. >FOREGOING  LIMITATION MAY NOT APPLY.
  166. >
  167. >(c) 1998 Microsoft Corporation. All rights reserved. Terms of Use.
  168. >
  169. >   *******************************************************************
  170. >You have received  this e-mail bulletin as a result  of your registration
  171. >to  the   Microsoft  Product  Security  Notification   Service.  You  may
  172. >unsubscribe from this e-mail notification  service at any time by sending
  173. >an  e-mail  to  MICROSOFT_SECURITY-SIGNOFF-REQUEST@ANNOUNCE.MICROSOFT.COM
  174. >The subject line and message body are not used in processing the request,
  175. >and can be anything you like.
  176. >
  177. >For  more  information on  the  Microsoft  Security Notification  Service
  178. >please    visit    http://www.microsoft.com/security/bulletin.htm.    For
  179. >security-related information  about Microsoft products, please  visit the
  180. >Microsoft Security Advisor web site at http://www.microsoft.com/security.
  181.