Kolejna luka w Microsoft IIS

29-12-2009, 19:34

Microsoft potwierdził istnienie luki odkrytej przez Sorousha Daliliego, nie spieszy się jednak z jej załataniem. Problem dotyczy oprogramowania serwerowego Internet Information Services (IIS) w wersji 6 oraz starszych wydań.

Jak podaje Soroush Dalili, błąd polega na sposobie interpretacji przez IIS plików z wieloma rozszerzeniami rozdzielonymi średnikiem, takich jak file.asp;.jpg - w omawianym przypadku instrukcje ASP zostały zakamuflowane pod postacią pliku graficznego. W podobny sposób można ukryć pliki z rozszerzeniami .cer i .asa.

Z badań przeprowadzonych przez odkrywcę luki wynika, że prawdopodobieństwo umieszczenia tak spreparowanych plików na serwerze sięga 70%. Twórca złośliwego kodu może w ten sposób ominąć zastosowane przez administratora zabezpieczenia przed niedozwolonymi rozszerzeniami.

Dalili określa znaleziony przez siebie błąd jako wysoce krytyczny (highly critical). Innego zdania są eksperci z firmy Secunia, którzy zaklasyfikowali lukę jako less critical, czyli niegroźną. Być może właśnie dlatego Microsoft nie spieszy się z jej załataniem, tym bardziej że nie odnotowano dotąd ataków wykorzystujących omawianą podatność.

Microsoft Security Response Center potwierdził na swoim blogu istnienie błędu, podkreślając, że stosowanie się do wskazówek na temat bezpiecznej konfiguracji IIS pozwoli uniknąć ataku. Odkrywca luki zaleca tymczasem blokowanie wykonywania kodu w katalogach, do których trafiają pliki użytkowników. Warto też przypisywać losową nazwę każdemu uploadowanemu plikowi.

>> Czytaj także: Microsoft naraża na niebezpieczeństwo użytkowników Windowsa

Na uwagę zasługuje fakt, że nie jest to pierwsza luka dotycząca IIS ujawniona w tym roku. Pod koniec sierpnia udostępniono w internecie exploita wykorzystującego błąd w usłudze FTP tego oprogramowania serwerowego. Microsoft załatał dziurę dopiero w październiku.


Następny artykuł » zamknij

Rusza pierwszy w Polsce e-Sąd

Źródło: Microsoft, Secunia, soroush.secproject.com
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Czerwiec 2019»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930