Home > Bezpieczeństwo, Problemy, Sieci, Software > IIS 6.0 – groźna luka zabezpieczeniach

IIS 6.0 – groźna luka zabezpieczeniach

22.06.2009 23:59

wirusNikolaos Rangos, znany specjalista ds. bezpieczeństwa zamieścił na stronach Full Disclosure informacje o poważnej luce w zabezpieczeniach w usłudze IIS 6.0. Nikolaos Rangos pokazuje, że przy pomocy odpowiednio spreparowanego zapytania HTTP przesłanego na serwer działający w oparciu o IIS 6.0, można przeglądać pliki umieszczone na serwerze, a nawet dodawać nowe. Rangos ustalił, że najprawdopodobniej błąd znajduje się w module odpowiedzialnym za obsługę tokenów Unicode.

Problem dotyczy wersji 6.0 usługi IIS z aktywnymi protokołami WEBDav, które są wykorzystywane do udostępniania plików online. Istnieje w całej tej historii również i dobra informacja. Nikolaos Rangos nie zdołał przeprowadzić skutecznego ataku na serwery Exchange i SharePoint, które również działają w oparciu o IIS 6.0. Potwierdza to również Thierry Zoller, niezależny konsultant ds. bezpieczeństwa, który po przetestowaniu przez Rangosa luki powiedział:

Istotą luki jest to, że pozwala ona na uzyskanie dostępu do zgromadzonych na serwerze plików z ominięciem obowiązku autoryzowania użytkownika. Co więcej – napastnik może też wgrywać nowe pliki na serwer. Dobra wiadomość jest taka, że na razie nie udało nam się znaleźć żadnego sposobu, który pozwalałby na uruchomienie na takim zaatakowanym serwerze złośliwego kodu.

Zoller wykazał również, że IIS 5 i IIS 7 nie są podatne na tego typu ataki, ale nie wyklucza jednocześnie, że inne usługi działające w oparciu o protokół WEBDav mogą zawierać podobne luki w zabezpieczeniach. Z tego też powodu zalecana jest duża ostrożność, a wręcz zaprzestanie korzystania przez administratorów serwerów z usług WEBDav do czasu wydania przez Microsoft stosownej poprawki.

Microsoft tymczasem nie potwierdza informacji, że istnieje jakiekolwiek niebezpieczeństwo. Gigant z Redmond póki co każe czekać na zajęcie stosownego stanowiska ograniczając się jedynie do lakonicznej informacji.

Informacje na temat "SOULSEEK ZAWIESZA SIĘ" znajdziesz tutaj
Podobne wpisy
  1. Co Microsoft zrobi z wykrytą luką w IE8?
  2. Luka zero-day w najnowszym Firefoksie
  3. WordPress eliminuje kolejne luki w w zabezpieczeniach
  4. Luka w Firefoksie 3.5 oznaczona jako krytyczna
  5. Luka w jądrze Linuksa
Categories: Bezpieczeństwo, Problemy, Sieci, Software
Tags: , , , , ,


Komentarze są zamknięte

Switch to our mobile site