HPE entre los líderes de almacenamiento de Gartner
Una falla crítica en el componente FTP del Microsoft Internet Information Service (IIS) puede permitirle a un atacante ejecutar comandos maliciosos en un servidor, advirtió Microsoft en una nueva advertencia de seguridad.
De acuerdo con la nota de Defensa e Investigación en Seguridad de Microsoft, si un servicio FTP IIS 5.0 (Windows 2000), 5.1 (XP) o 6.0 (Server 2003) intenta listar un “nombre de directorio largo y especialmente encapsulado”, ocurrirá un sobreflujo que puede permitir la ejecución remota de código. IIS 7.0 (Vista, Server 2008) no es vulnerable, de acuerdo con la nota. Para ser atacado, “un servidor FTP necesitaría una cantidad de usuarios no válidos que accedan a validarse y crear el gran y encapsulado directorio”.
Aún no hay ningún parche disponible y Microsoft dijo que ha visto “código detallado explotado” disponible en línea, aunque aún no ha visto ningún ataque activo. La nota de Microsoft lista soluciones alternativas de ahora en adelante, incluyendo cómo prevenir que usuarios anónimos del FTP pueden crear directorios.
-Por Erik Larkin
PC World (US)
SAN FRANCISCO
