A Full Disclosure listán bukkant fel egy PDF fájl, amely egy olyan, eddig még javítatlan, az Microsoft Internet Information Server (IIS) 6.0-val kapcsolatos biztonsági sebezhetőségre hívja fel a figyelmet, amelynek sikeres kihasználása tetszőleges fájl le- és feltöltését, illetve könyvtárlistázást tesz lehetővé jelszóval védett WebDAV folder-eken.

A H Security témába vágó cikke szerint a probléma nem korlátozódik kizárólag a WebDAV folder-ekre, hanem érinti a webszerver által kontrollált összes könyvtárat.

A WebDAV alapértelmezetten nincs nincs engedélyezve. A biztonsági szakemberek azt javasolják, hogy a problémában érintett rendszereket futtatók a hiba javításáig tiltsák le a WebDAV-ot, vagy gondoskodjanak arról, hogy !biztonságos helyről ne lehessen elérni a webszervert.

A jelenlegi hibához hasonló hibát fedeztek fel 2000-ben az IIS 4 és 5 verziókban. Thierry Zoller blogjában hasonlítja össze a régi és az új bugot.

Referenciák:
IIS6 + webdav and unicode rides again in 2009
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
Security hole in IIS 6.0