Szerző: Koi Tamás

2009. május 20. 13:36

Újabb biztonsági rést találtak az IIS webszerver-platformon

Hétfőn a Microsoft is elismerte, hogy egy újonnan felfedezett biztonsági résen keresztül támadható az Internet Information Services (IIS) webszerver-platformjának több verziója, a cég azonban egyelőre nem látja kritikusnak a helyzetet.

A szoftvercég weboldalán szereplő biztonsági feljegyzés szerint a hiba a webszerver jogosultságkezelési protokolljához köthető. A biztonsági rést kihasználva a támadók egy speciálisan szerkesztett HTTP-lekérés segítségével juthatnak magasabb jogosultsági szinthez, így többek közt hozzáférhetnek a szerveren tárolt összes adathoz, valamint kártékony kódot tölthetnek fel a kiszolgálóra.

A Microsoft egyelőre vizsgálja, hogy a biztonsági rés pontosan mekkora veszélyforrást jelenthet, a Microsoft Security Resource Center egyik mérnöke, Jonathan Ness addig is igyekszik megnyugtatni a webszervert használó cégeket, intézményeket. A szakember blogbejegyzésében így egyebek mellett az olvasható, hogy a sérülékenység csak bizonyos IIS-konfigurációk esetén áll fenn, hozzátéve, hogy az IIS legújabb, 7-es változata már nem támadható ezzel a módszerrel.

A szoftvercég szerint az újonnan felfedezett biztonsági rés csak azokra az IIS-konfigurációkra jelent veszélyt, melyeknél aktív a WebDAV (Web-based Distributed Authoring and Versioning) HTTP-kiterjesztés, kiemelve, hogy ez a funkció alapesetben nincs bekapcsolva az IIS 6.0-t futtató Windows Server 2003-nál. A múlt héten felfedezett, azóta a Cisco és a US-CERT által is megerősített biztonsági rés jelentette valódi veszély kapcsán jelenleg a biztonsági szakértők véleménye is megoszlik: A hibát felfedező görög szakértő, Nikolaos Rangos szerint már az önmagában potenciális veszélyt jelent, hogy a támadók feltölthetik a rosszindulatú kódot a szerverre, egy belga szakember, Thierry Zoller úgy véli, a sérülékenység akkor jelentene igazán komoly problémát, ha a támadók futtathatnák is ezeket a kódokat, az viszont egyelőre nem bizonyított, hogy a jogosultságkezelési hiba erre lehetőséget ad.

A szoftvercég a vizsgálat lezárásáig egyelőre azt tanácsolja az IIS korábbi verzióit használó ügyfeleinek, hogy óvatosságból kapcsolják ki a WebDAV kiterjesztést. A cég biztonsági figyelmeztetésében a vizsgálat eredményétől függően a biztonsági rést befoltozó patch megjelenését helyezte kilátásba, melynek legvalószínűbb megjelenési időpontja a három hét múlva esedékes, június 9-i patch-keddre tehető.

a címlapról

last minute bug

28

Döcögősen rajtol a Firefox 78

2020. július 3. 10:05

A Mozillának az utolsó utáni pillanatban kiszúrt bugok miatt kellett félbeszakítania a frissítés kiadását.