Kolejna luka w Microsoft IIS

29-12-2009, 19:34

Microsoft potwierdził istnienie luki odkrytej przez Sorousha Daliliego, nie spieszy się jednak z jej załataniem. Problem dotyczy oprogramowania serwerowego Internet Information Services (IIS) w wersji 6 oraz starszych wydań.

Jak podaje Soroush Dalili, błąd polega na sposobie interpretacji przez IIS plików z wieloma rozszerzeniami rozdzielonymi średnikiem, takich jak file.asp;.jpg - w omawianym przypadku instrukcje ASP zostały zakamuflowane pod postacią pliku graficznego. W podobny sposób można ukryć pliki z rozszerzeniami .cer i .asa.

Z badań przeprowadzonych przez odkrywcę luki wynika, że prawdopodobieństwo umieszczenia tak spreparowanych plików na serwerze sięga 70%. Twórca złośliwego kodu może w ten sposób ominąć zastosowane przez administratora zabezpieczenia przed niedozwolonymi rozszerzeniami.

Dalili określa znaleziony przez siebie błąd jako wysoce krytyczny (highly critical). Innego zdania są eksperci z firmy Secunia, którzy zaklasyfikowali lukę jako less critical, czyli niegroźną. Być może właśnie dlatego Microsoft nie spieszy się z jej załataniem, tym bardziej że nie odnotowano dotąd ataków wykorzystujących omawianą podatność.

Microsoft Security Response Center potwierdził na swoim blogu istnienie błędu, podkreślając, że stosowanie się do wskazówek na temat bezpiecznej konfiguracji IIS pozwoli uniknąć ataku. Odkrywca luki zaleca tymczasem blokowanie wykonywania kodu w katalogach, do których trafiają pliki użytkowników. Warto też przypisywać losową nazwę każdemu uploadowanemu plikowi.

>> Czytaj także: Microsoft naraża na niebezpieczeństwo użytkowników Windowsa

Na uwagę zasługuje fakt, że nie jest to pierwsza luka dotycząca IIS ujawniona w tym roku. Pod koniec sierpnia udostępniono w internecie exploita wykorzystującego błąd w usłudze FTP tego oprogramowania serwerowego. Microsoft załatał dziurę dopiero w październiku.


Następny artykuł » zamknij

Rusza pierwszy w Polsce e-Sąd

Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2021»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
27282930