Pewien ekspert ds. bezpieczeństwa odkrył lukę w najnowszej wersji oprogramowania Microsoft Internet Information Services pozwalającą atakującemu uruchomić złośliwy kod na maszynie korzystającego z tego popularnego serwera www.
Błąd związany jest ze sposobem parsowania przez IIS nazw plików zawierających przecinki lub średniki – tłumaczy Soroush Dalili. Wiele aplikacji webowych odrzuca uploady, które zawierają pliki wykonawcze, np. zbiory z rozszerzeniem „.asp”. Jednak dodając „;.jpg” lub inne „niegroźne” rozszerzenie do złośliwego pliku, atakujący może obejść tego typu filtry i potencjalnie oszukać serwer, aby ten uruchomił złośliwe oprogramowanie.
Mimo że Dalili określił lukę w IIS „wysoce krytyczną”, zajmująca się bezpieczeństwem firma Secunia uważa, iż nie jest ona tak poważna.
Rzeczniczka Microsoftu poinformowała, iż specjaliści firmy badają problem.
Aby tymczasowo uniknąć ataku, administratorzy serwisów korzystających z Internet Information Services powinni zablokować możliwość uruchamiania plików w katalogu służącym do przechowywania wrzucanych plików.
źródło: TheRegister.co.uk
Luka w IIS
Bezpieczeństwo |
Pon, 28 Gru 2009 00:02:39 +0100 |
Autor:
Redakcja
| Czytań: 1931
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9630 pkt.
2
grzemach 850 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
kris2005a 140 pkt.
6
Localghost 130 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.