Il protocollo WebDAV e le estensioni FrontPage 2000 Server sono la causa del
bug Traslate:f. che è tipico dei sistemi IIS 5 anche se, essendo le estensioni
di FrontPage 2000 applicabili ad IIS 4, ne risultano colpiti pure i sistemi con
la versione 4 di Internet Information Server. In particolare in questi ultimi
sistemi il bug sembra verificarsi soprattutto con riferimento ai file che
risiedono in directory condivise.
L'anomalia si manifesta attraverso la
richiesta di esecuzione di uno script ASP/ASA, inserendo nell'header della
richiesta GET la stringa "Translate:f" ed aggiungendo alla fine della URL una
serie di slash "../../../../". In questo modo può essere ottenuta la
visualizzazione del codice sorgente di uno script oppure anche del contenuto di
altri file, il che può condurre alla scoperta di informazioni delicate relative
a password, account utente, path di database, etc...
Rimedi:
Applicazione del Service Pack 1 per Windows 2000 scaricabile
direttamente da: http://support.microsoft.com/support/kb/articles/Q260/9/10.ASP.