Skomentuj:
Aby ocenić zaloguj się lub zarejestrujX
O sprawie zrobiło się głośno kilka dni temu - na krótko przed świętami specjalista ds. bezpieczeństwa Soroush Dalili poinformował, że wykrył w IIS nowy, poważny błąd. Chodzi o to, że możliwe jest przesłanie na serwer Microsoftu złośliwego pliku, zamaskowanego tak, by IIS uznał go za bezpieczny. Serwer domyślnie skonfigurowany jest tak, żeby blokować próby uploadowania plików wykonywalnych - jednak z powodu pewnych błędów związanych z interpretacją średnika zawartego w adresie URL możliwe jest podesłanie pliku wykonywalnego tak, by serwer uznał go np. za grafikę w formacie JPG. Problem jest szczegółowo opisany m.in. na stronie firmy Secunia.
Microsoft blisko tydzień po ogłoszeniu tych rewelacji milczał - firma uaktywniła się dopiero pod koniec grudnia. Koncern opublikował komunikat w tej sprawie, w którym tłumaczy, że... sprawy tak naprawdę nie ma. Zdaniem przedstawicieli Microsoftu, nie mamy tu do czynienia z błędem, lecz tylko z "pewną niespójnością" w tym, jak IIS interpretuje średniki. Co więcej - domyślnie skonfigurowany IIS nie jest podatny na atak opisany przez Sorousha Dalili, a skonfigurowanie serwera tak, by atak był możliwy, jest absolutnie niezalecane i wbrew wszelkim zasadom zdrowego rozsądku i bezpieczeństwa (tak w każdym razie wynika z komunikatu).
W skrócie rzecz ujmując, Microsoft zdecydowanie nie zgadza się na nazywanie opisanego powyżej zjawiska błędem i twierdzi, że o ile administrator IIS-a przestrzega podstawowych zasad zachowania bezpieczeństwa, to przeprowadzenie ataku jest niemożliwe. Dlatego też firma nie przygotuje żadnego patcha - aczkolwiek niewykluczone, że w kolejnym wydaniu IIS owa "niespójność" zostanie usunięta.
Komunikat Microsoftu
Czytaj więcej na technologie.gazeta.pl
Microsoft blisko tydzień po ogłoszeniu tych rewelacji milczał - firma uaktywniła się dopiero pod koniec grudnia. Koncern opublikował komunikat w tej sprawie, w którym tłumaczy, że... sprawy tak naprawdę nie ma. Zdaniem przedstawicieli Microsoftu, nie mamy tu do czynienia z błędem, lecz tylko z "pewną niespójnością" w tym, jak IIS interpretuje średniki. Co więcej - domyślnie skonfigurowany IIS nie jest podatny na atak opisany przez Sorousha Dalili, a skonfigurowanie serwera tak, by atak był możliwy, jest absolutnie niezalecane i wbrew wszelkim zasadom zdrowego rozsądku i bezpieczeństwa (tak w każdym razie wynika z komunikatu).
W skrócie rzecz ujmując, Microsoft zdecydowanie nie zgadza się na nazywanie opisanego powyżej zjawiska błędem i twierdzi, że o ile administrator IIS-a przestrzega podstawowych zasad zachowania bezpieczeństwa, to przeprowadzenie ataku jest niemożliwe. Dlatego też firma nie przygotuje żadnego patcha - aczkolwiek niewykluczone, że w kolejnym wydaniu IIS owa "niespójność" zostanie usunięta.
Komunikat Microsoftu
Czytaj więcej na technologie.gazeta.pl
