Internet Information Server crasht op lange URL's

Frenzy bezorgde ons een linkje naar New Order, waar men een nieuwe bug in Microsoft IIS heeft ontdekt. Internet Information Server blijkt niet overweg te kunnen met lange URL strings met extensie .ida. De foutmeldingen die hier als gevolg van onstaan kunnen in sommige gevallen een Denial of Service Attack veroorzaken:

Microsoft IIS 5.0 has problems handling a specific form of URL ending with "ida". The problem can have 2 kinds of results.

One possible outcome is that the server responds with a message like "URL String too long"; "Cannot find the specified path" or the like.

The other possible result is that the server terminates with an "Access Violation" message (effectively causing a Denial of Service attack against the server). Vulnerable are all IIS versions (up to and including IIS 5.0). When a remote attacker issues a URL request with the malformed URL: http://www.example.com/...[25kb of '.']...ida The server will either crash (causing an effective DoS attack) or report its current directory location (revealing the directory structure).

Door Femme Taken

UX Designer

Feedback • 19-01-2000 16:11 31

19-01-2000 • 16:11

31

Bron: New Order

Lees meer

'Internetsites zo lek als mandje'
'Internetsites zo lek als mandje' Nieuws van 7 april 2000
Software

Reacties (31)

-Moderatie-faq
31
31
0
0
0
0
Wijzig sortering
20 januari 2000 00:55
MS, dat was toch een ziekte }>
20 januari 2000 00:26
Flipz: Die browser van staroffice is niet echt fantastisch. Tweakers ziet er daarmee ongeveer hetzelfde uit als onder IE3. Op Slashdot stond een paar dagen geleden een post over browesers onder linux en Netscape4.7 is nog steeds de beste keuze, terwijl we wachten op Mozilla5.
20 januari 2000 00:05
mmm, internet explorer voor Linux. Interessant, moeten we mischien eens doen :)
19 januari 2000 16:15
Jaja, 25kb aan .........
wat voor URL heb je dan wel niet????
19 januari 2000 16:15
Tja het blijft een MS product he.
19 januari 2000 16:16
...ach
19 januari 2000 16:16
Heb ik net 25000 .ten een voor een ingetikt, bestaat dat hele www.example.com niet!
:o
19 januari 2000 16:19
...daarom is het juist een example :)
19 januari 2000 16:42
Hier moet een boek voor geschreven worden: 'Hacken voor dummies'. Nu kan dus iedereen het.....
19 januari 2000 16:45
Tsja...

Blijft ook microsoft he? :+

Maarum, zullen we gaan tellen?
Voor zover ik het zie zijn we nu op grote bug nummer 2. Nou weet ik dat het een onbegonnen zaak is ze te gaan tellen, maar we kunnen het allicht proberen }>

Taurus

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq