Sicherheitslücke in IIS 5/6 (WebDAV)

[HeikoBerlin]

Microsoft warnt vor einer möglichen Sicherheitsanfälligkeit im Internet-Informationsdienst (IIS), die eine Erhöhung von Berechtigungen ermöglichen kann. Betroffen davon ist der in Windows enthaltene Webserver IIS in den Versionen 5.0 (w2k), 5.1 (XP Pro) und 6.0 (Server 2003) mit aktivierter WebDAV Erweiterung.

Vorsichtshalber wird deshalb empfohlen ggf. WebDAV zu deaktivieren, wie für IIS 5.x hier beschrieben. Alternativ kann für IIS 5.x auch das "IIS Lockdown Tool" (hier / info) oder für IIS 5.1 + IIS 6.0 das Tool "UrlScan Filter v3.1" (x86/x64) verwendet werden.

Ohne jegliches Tool für IIS 6 wiefolgt umsetzbar:
Start - Ausführen: %SystemRoot%\system32\inetsrv\iis.msc
Links den lokalen Computer erweitern und auf Webdiensterweiterungen
Rechts WebDAV markieren und ggf. auf Verweigern ändern (Vorschau)

Wo eine Deaktivierung nicht in Betracht kommt, sollte zumindest die anonyme Nutzung mittels NTFS-Berechtigung verhindert werden. Näheres dazu für IIS 5 hier bzw. für IIS 6 hier

IIS 7.0 unter Windows Vista und Server 2008 soll von dem Problem nicht betroffen sein.
Für IIS 7.5 unter Windows Server 2008 R2 und Windows 7 wird sich das ebenso verhalten.

quelle / more info (engl)

Was ist WebDAV?
Web Distributed Authoring and Versioning (WebDAV) ist eine Erweiterung zum Hypertext Transfer Protocol (HTTP), mit dem definiert wird, wie grundlegende Dateifunktionen wie Kopieren, Verschieben, Löschen und Erstellen mithilfe von HTTP von einem Computer durchgeführt werden.