Microsoft bringt Webdav-Security Advisory
Microsoft hat ein neues Security Advisory herausgebracht das eine Lücke in Webdav behandelt. Betroffen sind alle Windows Server mit IIS 5 oder 6, IIS 7 ist laut dem Advisory nicht betroffen. Das Problem stellt sich also auch auf allen Exchange-Servern seit 2000, bei Exchange 2007 welche auf Windows Server 2003 installiert sind auf allen Server mit der CAS-Rolle. Die Empfehlung von Microsoft ist Webdav auszuschalten. Unter Exchange 2007 habe ich das Ausschalten von Webdav getestet, wir haben keine Nachteiligen Folgen bemerkt.
Wie wird WebDav auf einem Windows Server 2003 deaktiviert?
Geht unter Start –> Verwaltung auf den Internetinformationsdienste-Manager. Erweitert den Knoten Webdiensterweiterungen, Webdav markieren und “Verweigern” auswählen
Bis ein Patch erhältlich ist sollte das die Gefahr eines erfolgreichen Angriffes deutlich abmildern.
Viele Grüße
Walter Steinsdorfer