Kolejna luka w Microsoft IIS

29-12-2009, 19:34

Microsoft potwierdził istnienie luki odkrytej przez Sorousha Daliliego, nie spieszy się jednak z jej załataniem. Problem dotyczy oprogramowania serwerowego Internet Information Services (IIS) w wersji 6 oraz starszych wydań.

Jak podaje Soroush Dalili, błąd polega na sposobie interpretacji przez IIS plików z wieloma rozszerzeniami rozdzielonymi średnikiem, takich jak file.asp;.jpg - w omawianym przypadku instrukcje ASP zostały zakamuflowane pod postacią pliku graficznego. W podobny sposób można ukryć pliki z rozszerzeniami .cer i .asa.

Z badań przeprowadzonych przez odkrywcę luki wynika, że prawdopodobieństwo umieszczenia tak spreparowanych plików na serwerze sięga 70%. Twórca złośliwego kodu może w ten sposób ominąć zastosowane przez administratora zabezpieczenia przed niedozwolonymi rozszerzeniami.

Dalili określa znaleziony przez siebie błąd jako wysoce krytyczny (highly critical). Innego zdania są eksperci z firmy Secunia, którzy zaklasyfikowali lukę jako less critical, czyli niegroźną. Być może właśnie dlatego Microsoft nie spieszy się z jej załataniem, tym bardziej że nie odnotowano dotąd ataków wykorzystujących omawianą podatność.

Microsoft Security Response Center potwierdził na swoim blogu istnienie błędu, podkreślając, że stosowanie się do wskazówek na temat bezpiecznej konfiguracji IIS pozwoli uniknąć ataku. Odkrywca luki zaleca tymczasem blokowanie wykonywania kodu w katalogach, do których trafiają pliki użytkowników. Warto też przypisywać losową nazwę każdemu uploadowanemu plikowi.

>> Czytaj także: Microsoft naraża na niebezpieczeństwo użytkowników Windowsa

Na uwagę zasługuje fakt, że nie jest to pierwsza luka dotycząca IIS ujawniona w tym roku. Pod koniec sierpnia udostępniono w internecie exploita wykorzystującego błąd w usłudze FTP tego oprogramowania serwerowego. Microsoft załatał dziurę dopiero w październiku.


Następny artykuł » zamknij

Rusza pierwszy w Polsce e-Sąd

Źródło: Microsoft, Secunia, soroush.secproject.com
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930