Η Microsoft επιβεβαιώνει IIS σοβαρό σφάλμα

Η Microsoft επιβεβαιώνει IIS σοβαρό σφάλμα, downplays απειλή
«Μόνο μια ειδική διαμόρφωση IIS είναι σε κίνδυνο," λέει εταιρεία
Computerworld - αργά τη Δευτέρα η Microsoft επιβεβαίωσε ότι οι υπηρεσίες Internet Information Services (IIS) Web-server λογισμικό περιέχει μια ευπάθεια που θα μπορούσε να επιτρέψει σε επιτιθέμενους κλέψει τα δεδομένα, αλλά η απειλή downplayed.
"Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί το θέμα ευπάθειας δημιουργώντας μια ειδικά δημιουργημένη αίτηση HTTP σε μια τοποθεσία Web που απαιτεί έλεγχο ταυτότητας, και έτσι να αποκτήσει αθέμιτη πρόσβαση στις προστατευόμενες πόρους," δήλωσε η Microsoft σε ένα συμβουλευτικό δελτίο ασφαλείας εξέδωσε τη Δευτέρα το βράδυ.
"[Όμως] μόνο μια συγκεκριμένη ρύθμιση IIS είναι σε κίνδυνο από αυτήν την ευπάθεια," Jonathan Ness, ένας μηχανικός με το Microsoft Security Response Center (MSRC), δήλωσε σε μια θέση στο κέντρο της blog.
Νωρίτερα μέσα στην ημέρα, ασφάλειας οργανισμούς, συμπεριλαμβανομένης της Cisco και τις ΗΠΑ σε καταστάσεις έκτακτης ανάγκης στην ομάδα (US-CERT) είχε προειδοποιήσει ότι IIS 6 ένα bug harbored ερευνητής υποστήριξε ότι θα μπορούσε να χρησιμοποιηθεί τόσο για την προβολή και να φορτώσουν αρχεία Web.
Σύμφωνα με τη Microsoft, το ελάττωμα επηρεάζει IIS 6, όπου διακομιστές WebDAV (Web-based Distributed Authoring and Versioning), ένα σύνολο επεκτάσεων στο HTTP που χρησιμοποιούνται για την ανταλλαγή εγγράφων κατά τη διάρκεια του Παγκόσμιου Ιστού. WebDAV χρησιμοποιείται επίσης στο Microsoft Exchange 2003 για πρόσβαση μέσω ενός browser εισερχόμενα.
Η Microsoft επιβεβαίωσε επίσης ότι τα μεγάλα IIS 5 και IIS 5.1 του λογισμικού είναι ευάλωτο? Τα νεότερα IIS 7, που debuted παράλληλα με τα Windows Vista και περιλαμβάνεται στον Windows Server 2008, δεν επηρεάζεται, ωστόσο.
Η ευπάθεια αυτή αποκάλυψε την περασμένη εβδομάδα σε ένα μήνυμα με την ασφάλεια ερευνητής Νικόλαος Rangos για την πλήρη δημοσιότητα τη λίστα. Παρόλο που το εν λόγω bug Rangos θα μπορούσε να χρησιμοποιηθεί για δυνητικά κακόβουλο μεταφορτώσετε αρχεία, το βελγικό ερευνητής Thierry Zoller είπε δεν υπήρχε τρόπος για έναν εισβολέα να τρέχει στην πραγματικότητα κακόβουλου λογισμικού φυτεύονται στο διακομιστή.
Ness απήχησαν Zoller, με την επιφύλαξη ότι η Microsoft εξακολουθεί να εξετάζει το bug. "Αυτό που διαπιστώθηκε είναι ότι ο IIS εγκαταστάτη εφαρμόζει NTFS ελέγχου πρόσβασης για να γράψει ρητά αρνείται την πρόσβαση στο λογαριασμό ανώνυμος (IUSR_ [MachineName]) σε wwwroot και υποκαταλόγους που κληρονομούν wwwroot της ACL", είπε. "Έτσι, στην περίπτωση προεπιλογή, αυτό το θέμα ευπάθειας δεν θα επιτρέψει σε έναν κακόβουλο εισβολέα να φορτώσετε ή να τροποποιήσετε τις ιστοσελίδες."
Επίσης, σημειώνεται από τα τέσσερα κριτήρια που πρέπει να πληρούνται για να τεθεί ένα διακομιστή σε κίνδυνο, και σημείωσε ότι "αυτό είναι πρωτίστως ένα θέμα ευπάθειας αποκάλυψης πληροφοριών απειλή."
Rangos "σφάλμα μπορεί να ανιχνευθεί με το 2001, τη χρονιά που ο" κώδικας Κόκκινο "σκουλήκι επιβραδύνθηκε Windows που βασίζονται σε δίκτυα crawl, είπε Zoller, ο οποίος σημείωσε ότι πριν από οκτώ χρόνια η Microsoft patched ένα μονοπάτι traversal bug το Μάιο του 2001. "Η ομοιότητα με το IIS Unicode ελάττωμα από το 2001 ήταν τόσο ότι παρόμοια γνάθου πρώτη μου έπεσε», είπε σε ένα blog εισόδου το περασμένο Σάββατο. "Το σφάλμα ανακαλύφθηκε από Rangos φαίνεται να πάσχει από παρόμοια λογική λάθος [όπως MS01-026]. Αργότερα αυτό το έτος, η Microsoft IIS patched άλλα σφάλματα, συμπεριλαμβανομένης της εκμετάλλευσης από έναν κώδικα Κόκκινο.
Αυτό το ελάττωμα νεότερο, ωστόσο, δεν έχει σχέση με τον Κώδικα Ερυθρού ευπάθεια.
Της Microsoft Ness περιγράφεται αρκετά εναλλακτικούς ότι οι χρήστες θα μπορούσαν να λάβουν μέχρι ενός εμπλάστρου ήταν διαθέσιμα, συμπεριλαμβανομένων και την απενεργοποίηση του WebDAV, σε IIE 5, 5.1 και 6. Η εταιρεία δεν έχει ρητή υπόσχεση ενός εμπλάστρου, αλλά και τη συμβουλευτική της περιλαμβάνονται boilerplate γλώσσα - "Η Microsoft θα λάβει τα κατάλληλα μέτρα για να προστατεύσει τους πελάτες μας - συνήθως υποδηλώνει ότι μια ενημέρωση κώδικα είναι επικείμενη.
Η επόμενη τακτική προγραμματισμένη-Microsoft εμπλάστρου ημέρα Ιούνιο 9, τρεις εβδομάδες από σήμερα.