Szerző: Bizó Dániel

2010. január 4. 17:03

Könnyen átverhető az IIS

A Microsoft megerősítette, hogy a karácsony előtt tudomására jutott IIS-sebezhetőség valódi, és vizsgálja az ügyet. A cég szerint alapesetben nem sebezhető a szoftver, ahhoz nagyon megengedő beállításokat kell alkalmaznia a rendszergazdának.

Éppen az ünnepi szünet megkezdésekor pattant ki, hogy a Microsoft Internet Information Services szerverszoftvere egy olyan fájlformátum elemző hibát tartalmaz, mely lehetővé teszi, hogy egy végrehajtható .ASP állomány kikerülje a biztonsági rutinellenőrzést, majd mégis lefusson. Ehhez mindössze egy pontosvesszővel tagolt .JPG kiterjesztést kell adni az ASP-fájlhoz, tehát például kepek.asp;.jpg. A vizsgálat folyamatban, egyelőre nem tudni, a Microsoft mihez kezd a kérdéssel.

A támadás a jelek szerint az IIS 6.0-ig bezárólag érinti a szoftvert. A Microsoft szerint a támadás kivitelezéséhez a felhasználónak írási joggal kell rendelkeznie egy olyan könyvtárhoz, melynek végrehajtási joga van, vagyis ésszerű körülmények közepette csak a kifejezetten megbízható felhasználók által elérhető IIS-szolgáltatást kiaknázva lehet támadást intézni a szerver ellen. Normál esetben a felhasználó vagy nem rendelkezik írási joggal sem, vagy ha igen, akkor sem hajthat végre kódot egyből éles rendszeren.

A Microsoft Sercurity Response Center hivatalos blogja IIS biztonsági tanácsokat is ad annak érdekében, hogy maximalizáljuk IIS-telepítéseinket. Állítja, egyelőre nincs a cégnek tudomása arról, hogy támadások lennének folyamatban, ugyanakkor elismeri, hogy az ügyfelek veszélynek vannak kitéve, mivel a támadás módja publikus. Az erős azonosítási és jogosultsági politikán túl a megbízhatónak ítélt felhasználók esetében is védelmet ad a fájlnév automatikus, random átnevezése, vagy a feltöltési könyvtártól a végrehajtási jogok megvonása is.

Derítsd ki, hol tartasz a felhőérettségben a Devertix Cloud Readiness felmérésével, mellyel átfogó képet kaphatsz vállalatod felkészültségéről. Töltsd ki 3 perces, ingyenes felmérőnket!

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 4. 06:32

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.