Błąd w Microsoft IIS 5
Defcom Labs, ogłosiło kolejny słaby punkt w Microsoft Internet Information Server 5.0. Podatne są wszystkie wersje Windows 2000 (httpext.dll) oprócz W2K SP2 (0.9.3940.21).
Usterka w rozszerzeniach WebDav pozwalają na atak DoS, przez nagłe żądania nieistniejących plików metodą HTTP LOCK.
Przykład: LOCK /aaaaaaaaaaaaaaaaaa.htw HTTP/1.0
Prowadzi to do konsumowania coraz większych zasobów pamięci i coraz wolniejszego działania systemu. Przy odpowiednim działaniu, atakujący może teraz doprowadzić do załamania hosta i jego restartu. Jedną z takich rzeczy może być połączenie powyższego ataku z wywołaniami asp.
Przykład: GET /iisstart.asp?uc=a HTTP/1.0
(wymaga to obecności iisstart.asp, ale to tylko jedno z rozwiązań).
Problem naprawiono dopiero w httpext.dll wersjii .0.9.3940.21.
SP2 można pobrać z bazy Microsoftu