Этот патч устраняет уязвимость в Microsoft Internet Information Server, что позволит злоумышленнику угнать безопасный веб-сессии другого пользователя при очень ограниченном наборе обстоятельств.
IIS поддерживает использование куки с идентификатором сессии для отслеживания текущего идентификатора сессии для веб-сессии. Тем не менее, ASP в IIS не поддерживает создание безопасных идентификатор сеанса печенье, как определено в RFC 2109. В результате, безопасные и небезопасные страницы на том же веб-сайте использовать тот же идентификатор сеанса. Если пользователь инициировал сессию с безопасной веб-странице, идентификатор сеанса печенье будет создан и отправлен пользователю, защищенный SSL. Но если пользователь впоследствии посетил незащищенную страницу на том же сайте, тот же идентификатор сессии Cookie будет обменять, на этот раз в незашифрованном виде. Если злоумышленник был полный контроль над каналом связи, он мог читать открытого текста с идентификатором сессии печенье и использовать его для подключения к сессии пользователя с защищенной страницы. В тот момент, он мог принимать любые меры по безопасной странице, чтобы пользователь мог принять.
Условия, при которых эта уязвимость может быть использована довольно сложной. Злоумышленник было бы необходимо иметь полный контроль над коммуникаций других пользователей с веб-сайта. Даже тогда, злоумышленник не мог сделать начальное соединение с защищенной страницы; только законный пользователь может сделать это. Патч устраняет уязвимость, добавляя поддержку защищенного сеанса ID печенья в ASP-страниц. (Secure печенье уже поддерживаются для всех других видов печенья, при всех других технологиях в IIS). .
См справку для получения дополнительной информации
Требования
Windows NT 4.0, Internet Information Server 4.0
Комментарии не найдены