Viestintäviraston tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvän CERT-FI-ryhmän varoituksen mukaan Microsoft IIS (Internet Information Server/Services)-ohjelmisto sisältää HTR-toiminnon, jonka avulla voidaan esimerkiksi suorittaa web-pohjaista salasanojen hallinnointia.
Haavoittuvuus liittyy HTR-toiminnon tapaan käsitellä sille ohjattuja komentoja tai viestejä. Hyökkääjän voi olla mahdollista haavoittuvuutta hyväksikäyttämällä kohdistaa kohdetietojärjestelmään palvelunestohyökkäyksiä tai saavuttaa mahdollisuuden suorittaa kohdetietojärjestelmässä omia komentojaan.
Haaavoittuvuus on versioissa Microsoft IIS (Internet Information Server) versio 4.0 ja Microsoft IIS (Internet Information Services) versio 5.0
Ratkaisu:
Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta:
Microsoft IIS (Internet Information Server) versio 4.0
Microsoft IIS (Internet Information Services) versio 5.0
Yleisohjeena CERT-FI suosittelee sulkemaan kaikki sellaiset palvelut ja toiminnot tietojärjestelmissä, joita ei välttämättä tarvita. Tämä koskee myös Microsoft IIS-ohjelmiston HTR-toimintoa.