[SECURITY-L] CAIS-Alerta: Vulnerabilidades no servio FTP do IIS

CSIRT - UNICAMP security em unicamp.br
Ter Set 8 09:44:06 -03 2009 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidades no serviço FTP do IIS
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 7 Sep 2009 17:52:45 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS está repassando o boletim da Microsoft, intitulado "Vulnerabilities 
in the FTP Service in Internet Information Services (975191)", que trata 
de duas vulnerabilidades no serviço FTP do Microsoft Internet Information 
Services (IIS).

As vulnerabilidades permitem a execução remota de código em sistemas com o 
serviço FTP em IIS 5.0 ou negação de serviço (Denial of Service - DoS) em 
sistemas com o serviço FTP em IIS 5.0, IIS 5.1, IIS 6.0 ou IIS 7.0.

Este alerta de segurança foi divulgado fora do ciclo mensal de boletins de 
segurança por se tratarem de vulnerabilidades que não foram divulgadas de 
maneira responsável para a Microsoft e que estão sendo exploradas 
ativamente. Por estas razões o CAIS recomenda a adoção imediata das 
medidas paliativas.


SISTEMAS AFETADOS

. IIS File Transmission Protocol (FTP) Service 5.0
. IIS File Transmission Protocol (FTP) Service 5.1
. IIS File Transmission Protocol (FTP) Service 6.0
. IIS File Transmission Protocol (FTP) Service 7.0


CORREÇÕES DISPONÍVEIS

No momento não há correções disponíveis. O CAIS recomenda que se siga as 
medidas paliativas sugeridas pela Microsoft:

. Não permita acesso (leitura e escrita) a usuários anônimos (anonymous)
. Mofifique as permissões do sistema de arquivos NTFS para não permitir a 
  criação de diretórios por usuários FTP
. Upgrade para o serviço FTP versão 7.5
. Desabilite o serviço FTP

Mais informações na seção "Workarounds" do alerta original da Microsoft.


MAIS INFORMAÇÕES

. Vulnerabilities in the FTP Service in Internet Information Services (975191)
  http://www.microsoft.com/technet/security/advisory/975191.mspx

. Microsoft Security Advisory 975191 Revised (MSRC Blog 03-set-2009)
  http://blogs.technet.com/msrc/archive/2009/09/03/microsoft-security-advisory-975191-revised.aspx

. Microsoft Security Advisory 975191 Released (MSRC Blog 01-set-2009)
  http://blogs.technet.com/msrc/archive/2009/09/01/microsoft-security-advisory-975191-released.aspx

. Microsoft Internet Information Server (IIS) FTP server NLST stack buffer overflow (VU#276653)
  http://www.kb.cert.org/vuls/id/276653

. SANS ISC Handler's Diary 2009-09-04: Vulnerabilities (plural) in MS IIS FTP Service 5.0, 5.1. 6.0, 7.0
  http://isc.sans.org/diary.html?storyid=7063

. SANS ISC Handler's Diary 2009-08-31: Microsoft IIS 5/6 FTP 0Day released
  http://isc.sans.org/diary.html?storyid=7039

. Microsoft TechCenter de Segurança
  http://technet.microsoft.com/pt-br/security/

. Microsoft Security Response Center - MSRC
  http://www.microsoft.com/security/msrc/

. Microsoft Security Research & Defense - MSRD
  http://blogs.technet.com/srd/

. Segurança Microsoft
  http://www.microsoft.com/brasil/security/


Identificador CVE (http://cve.mitre.org):
CVE-2009-2521, CVE-2009-3023


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.


Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSqVyqOkli63F4U8VAQGlIQP9GgAZjtVC9TLYKrDHzsHnzn/amjJi6FN1
wREcEZsViSPczc2HFgzS3QhetWMPMGA/T6uiuqhlMShlrMht5uwlY3dkBd56h5n5
DR3Qn5ESvWhCW9CQc3fzrovBfYkDvy1AE4t1lOMT9QZ2xDZgA0x0JBa/bvoXlHYq
9g8SmBiNj9I=
=R8W5
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L