Microsoft potwierdził istnienie luki odkrytej przez Sorousha Daliliego, nie spieszy się jednak z jej załataniem. Problem dotyczy oprogramowania serwerowego Internet Information Services (IIS) w wersji 6 oraz starszych wydań.
reklama
Jak podaje Soroush Dalili, błąd polega na sposobie interpretacji przez IIS plików z wieloma rozszerzeniami rozdzielonymi średnikiem, takich jak file.asp;.jpg - w omawianym przypadku instrukcje ASP zostały zakamuflowane pod postacią pliku graficznego. W podobny sposób można ukryć pliki z rozszerzeniami .cer i .asa.
Z badań przeprowadzonych przez odkrywcę luki wynika, że prawdopodobieństwo umieszczenia tak spreparowanych plików na serwerze sięga 70%. Twórca złośliwego kodu może w ten sposób ominąć zastosowane przez administratora zabezpieczenia przed niedozwolonymi rozszerzeniami.
Dalili określa znaleziony przez siebie błąd jako wysoce krytyczny (highly critical). Innego zdania są eksperci z firmy Secunia, którzy zaklasyfikowali lukę jako less critical, czyli niegroźną. Być może właśnie dlatego Microsoft nie spieszy się z jej załataniem, tym bardziej że nie odnotowano dotąd ataków wykorzystujących omawianą podatność.
Microsoft Security Response Center potwierdził na swoim blogu istnienie błędu, podkreślając, że stosowanie się do wskazówek na temat bezpiecznej konfiguracji IIS pozwoli uniknąć ataku. Odkrywca luki zaleca tymczasem blokowanie wykonywania kodu w katalogach, do których trafiają pliki użytkowników. Warto też przypisywać losową nazwę każdemu uploadowanemu plikowi.
Na uwagę zasługuje fakt, że nie jest to pierwsza luka dotycząca IIS ujawniona w tym roku. Pod koniec sierpnia udostępniono w internecie exploita wykorzystującego błąd w usłudze FTP tego oprogramowania serwerowego. Microsoft załatał dziurę dopiero w październiku.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*