|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Falla en protocolo LDAP bajo Windows 2000 (MS01-036) | ||
|---|---|---|
VSantivirus No. 358 - Año 5 - Domingo 1 de julio de 2001 Falla en una función del protocolo LDAP en sesiones SSL bajo Windows 2000 (MS01-036) - Por Alejandro Germán Rodriguez (*) Microsoft ha emitido una nueva alerta de seguridad mediante su boletín MS01-036 advirtiendo de una falla en una función del protocolo LDAP (1) en sesiones SSL (2) bajo Windows 2000. La vulnerabilidad podría permitir un ataque de negación de servicio o una escalada de privilegios en un servidor afectado. La función LPDA debería comprobar los permisos de un usuario antes de cumplimentar una solicitud, pero por un error, esta función no efectúa el control apropiadamente y bajo tales circunstancias, un usuario malévolo podría cambiar la password de cualquier otro usuario, hasta la del mismo administrador de dominio, obteniendo así, acceso sobre el servidor. Lamentablemente, por error de diseño, la función afectada puede ser invocada por cualquier usuario, incluso aquellos que lo hagan desde una sesión anónima, pueden conectarse a un servidor LDAP y explotar la falla. Existen elementos mitigantes para explotar esta falla como ser el hecho que la función LDAP sobre sesiones SSL solo correrá en servidores en los cuales los administradores hayan instalado un certificado digital, y no en las instalaciones por defecto de Windows 2000. Si se han seguido sanas normas de seguridad en lo referente al uso de cortafuegos y éste bloquea los accesos desde el puerto TCP 636 también se impedirá el ataque. Parche para download: Windows 2000 Server y Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31065 Más información: http://www.microsoft.com/technet/security/bulletin/MS01-036.asp http://php3.de/manual/es/ref.ldap.php Glosario: (1) LDAP (Lightweight Directory Access Protocol) - Es un protocolo usado para acceder a "Servidores de Directorio". El directorio es una clase especial de base de datos que contiene información estructurada en forma de árbol. (2) SSL (Secure Socket Layer) - Es una tecnología que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro. (*) Alejandro Germán Rodriguez Peligros_en_la_red-owner@onelist.com http://es.egroups.com/group/Peligros_en_la_red ICQ # 44796626 (c) Video Soft - http://www.videosoft.net.uy |
||
