30 grudnia 2009

Microsoft: luka Zero Day w IIS to jedynie niekonsekwencja

środa, grudnia 30, 2009 | Autor: \m/ojtek


Microsoft Security Response Center (MSRC) opublikował wyniki analizy zgłoszeń dotyczących odkrycia nowej luki Zero Day w produkcie serwerowym IIS. Gigant z Redmond wyraził opinię, że domniemana usterka bezpieczeństwa jest jedynie niekonsekwencją w sposobie przetwarzania nazw zawierających znak średnika.

Zdaniem Microsoftu, luka średnikowa, która wg doniesień pozwala na obejście mechanizmów filtrowania plików wprowadzanych do aplikacji webowych przez jej użytkowników, nie jest usterką bezpieczeństwa i nie stanowi żadnego zagrożenia:

We’ve completed our investigation into the claims that came up over the holiday of a possible vulnerability in IIS and found that there is no vulnerability in IIS.

Microsoft argumentuje swe zdanie tym, że udany atak wymaga praw zapisu oraz wykonania w katalogu składowania plików pobranych od użytkowników, natomiast tego rodzaju konfiguracja nie występuje przy domyślnych ustawieniach serwera oraz jest wbrew zaleceniom publikowanym przez giganta.

Tymczasem Secunia potwierdziła istnienie błędu w systemie Windows Server 2003 R2 SP2 (IIS 6), natomiast organizacje SANS oraz SecurityFocus opublikowały poradniki pozwalające na zabezpieczenie się przed udanym atakiem. Tutaj natomiast można się zapoznać z przykładem praktycznego testu penetracyjnego wykorzystującego najnowszą lukę w Microsoft IIS.
Etykiety: , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.