Цей патч усуває вразливість в Microsoft Internet Information Server, що дозволить зловмиснику викрасти безпечний веб-сесії іншого користувача при дуже обмеженому наборі обставин.
IIS підтримує використання куки з ідентифікатором сесії для відстежування поточного ідентифікатора сесії для веб-сесії. Тим не менш, ASP в IIS не підтримує створення безпечних ідентифікатор сеансу печиво, як визначено в RFC 2109. В результаті, безпечні і небезпечні сторінки на тому ж веб-сайті використовувати той же ідентифікатор сеансу. Якщо користувач ініціював сесію з безпечною веб-сторінці, ідентифікатор сеансу печиво буде створений і відправлений користувачеві, захищений SSL. Але якщо користувач згодом відвідав незахищену сторінку на тому ж сайті, той же ідентифікатор сесії Cookie буде обміняти, цього разу в незашифрованому вигляді. Якщо зловмисник був повний контроль над каналом зв'язку, він міг читати відкритого тексту з ідентифікатором сесії печиво і використовувати його для підключення до сесії користувача захищеній сторінці. У той момент, він міг приймати будь-які заходи щодо безпечної сторінці, щоб користувач міг прийняти.
Умови, за яких ця вразливість може бути використана досить складною. Зловмисник було б необхідно мати повний контроль над комунікацій інших користувачів з веб-сайту. Навіть тоді, зловмисник не міг зробити початкове з'єднання захищеній сторінці; тільки законний користувач може зробити це. Патч усуває вразливість, додаючи підтримку захищеного сеансу ID печива в ASP-сторінок. (Secure печиво вже підтримуються для всіх інших видів печива, при всіх інших технологіях в IIS). .
Див довідку для отримання додаткової інформації
Вимоги
Windows NT 4.0, Internet Information Server 4.0
Коментар не знайдено