Patch na ito ay nag-aalis ng isang kahinaan sa seguridad sa Microsoft Internet Information server na ay magpapahintulot sa isang malisyosong user na i-hijack secure na Web session ng isa pang user sa ilalim ng isang napaka-restricted set ng mga pangyayari.
Sinusuportahan IIS sa paggamit ng isang session ID cookie upang subaybayan ang mga kasalukuyang session identifier para sa isang Web session. Gayunpaman, hindi sinusuportahan ng ASP sa IIS ay ang paglikha ng mga secure na cookies session ID tulad ng tinukoy sa RFC 2109. Bilang isang resulta, secure at hindi secure na mga pahina sa parehong Web site gamitin ang parehong session ID. Kung pinasimulan ng isang user sa isang session sa isang secure na pahina ng Web, isang session ID cookie ay binuo at ipinadala sa mga user, na protektado ng SSL. Ngunit kung sa dakong huli binisita ng user ang isang di-secure na pahina sa parehong site, ay maaaring palitan ng parehong cookie session ID, oras na ito sa plaintext. Kung ang isang malisyosong user ay nagkaroon ng kumpletong kontrol sa mga channel ng komunikasyon, kaya niyang basahin ang plaintext cookie session ID at gamitin ito upang kumonekta sa session ng gumagamit sa mga secure na pahina. Sa puntong iyon, siya ay maaaring gumawa ng anumang aksyon sa mga secure na pahina na maaaring tumagal ng user.
Ang mga kondisyon sa ilalim kung saan ang kahinaan ay maaaring pinagsamantalahan sa halip daunting. Ang mga malisyosong mga user ay kailangan upang magkaroon ng kumpletong kontrol sa mga komunikasyon sa iba pang mga user sa Web site. Kahit pagkatapos, hindi maaaring gumawa ng mga malisyosong user ang unang koneksyon sa mga secure na pahina; maaari lamang gawin ang mga lehitimong gumagamit na iyon. Ang patch ay nag-aalis sa mga kahinaan sa pamamagitan ng pagdagdag ng suporta para sa mga secure session cookies ID sa mga pahina ng ASP. (Secure cookies na ang sinusuportahan para sa lahat ng iba pang mga uri ng mga cookies, sa ilalim ng lahat ng iba pang mga teknolohiya sa IIS). .
Tingnan ang FAQ para sa karagdagang impormasyon
Mga kinakailangan
Windows NT 4.0, Internet Information server 4.0
Mga Komento hindi natagpuan