'webdav'에 해당되는 글 1건

  1. 2010.01.27 WebDAV 인증 우회에 대한 취약점
컴퓨터2010.01.27 13:00
WebDAV  인증 우회에 대한 취약점

마이크로소프트 보안 권고문 971492(http://www.microsoft.com/technet/security/advisory/971492.mspx)이 5월 18일자로 공지되었습니다.
Microsoft Internet Information Services (이하 IIS) 의 WebDAV 를 사용하는 경우에 발생할수 있습니다.

WebDAV 에서 유니코드(동아시아 언어권에서 주로사용)로 코드를 처리하는 과정에서 발생하는 취약점으로
HTTP GET 요청에 "Translate: f" 를 HTTP 해더에 추가하여서 WebDAV폴더로 파일을 업로드 하는 방법 입니다.

다음에 해당하시는 분들에게 영향을 줄수 있는 내용입니다.
- IIS 5.x, IIS 6  의 버전을 사용
- WebDAV 를 사용 (IIS 6.0 에서는 기본적으로 WebDAV 가 비활성화되어 있습니다. )

대응 방법

1. 파일 ACL 을 이용해서 웹서비스에 사용되는 IUSR_<computername> 계정에 대한 쓰기 거부
기술문서 : IIS 5.0 웹 서버에 필요한 NTFS 권한 및 사용자 권한을 설정하는 방법
http://support.microsoft.com/kb/271071

2. WebDAV 설정의 비활성화
기술문서 : IIS 5.0용 WebDAV를 해제하는 방법
http://support.microsoft.com/kb/241520

3. URLScan 을 이용한 요청제한
기술문서 : UrlScan Security Tool (기본설정으로는 서비스에 문제가 있을수 있으니 반드시 테스트후 적용해야합니다.)
http://technet.microsoft.com/en-us/security/cc242650.aspx

4.  Webknight 를 이용한 방법 ( 2.2 버젼 기준 )
- Web Applications - Allow WebDAV 비활성

해제방법펼쳐두기..


참고1. 윈도우 버전별 IIS 의 버전
Windows 2000 - IIS 5.0
Windows XP   - IIS 5.1
Windows 2003 - IIS 6.0
Windows 2008 - IIS 7.0

참고2. 참조문서
- IIS 인증우회에 대한 추가정보
http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx

- WebDAV 인증우회에 대한 추가정보
http://blogs.technet.com/srd/archive/2009/05/20/answers-to-the-iis-webdav-authentication-bypass-questions.aspx
Posted by Zasfe
TAG ,