Microsoft ontkent IIS-probleem
Alleen slecht geconfigureerde webservers worden misleid
31 december 2009 | Pieterjan Van Leemputten
Microsoft ontkent dat er een nieuw lek zit in IIS 6. Volgens het softwarebedrijf valt de software te misleiden, maar ligt de schuld bij slecht beveiligde webservers.
IIS is een verzameling van serverdiensten voor Windows. Eind vorige week omschreef securityonderzoeker Soroush Dalili in een rapport het probleem als “zeer kritiek voor webapplicaties”.
Volgens het rapport kan IIS uitvoerbare extensies openen wanneer ze in een URL worden vermeld en worden gescheiden met een puntkomma. Dat terwijl er bij controle enkel naar de extensie op het einde wordt gekeken.
Zo zou een link naar het bestand infectie.asp;.jpg worden gedetecteerd als een fotobestand (JPEG), terwijl het wordt uitgevoerd als ASP (Active Server Page). Dat kan ervoor zorgen dat gebruikers een server hacken door een specifiek bestand te uploaden.
Volgens het rapport, dat tests uitvoerde bij populaire webapplicaties in de zomer van 2008, werd zeventig procent van de bestandsuploaders misleid met deze truc. Het probleem heeft wel alleen impact op IIS 6. Versie 7.5 heeft het probleem niet en versie 7 werd nog niet getest.
Slecht geconfigureerde webservers
In een blogbericht zegt Microsoft dat er binnen IIS een ongelijkmatigheid is in de afhandeling van puntkomma's. Maar het voegt daaraan toe dat alleen onveilig uitgerolde webservers risico lopen.
“Als het scenario wil werken, moet de IIS-server reeds geconfigureerd zijn om zowel schrijf- als uitvoeringsrechten te hebben in dezelfde map. Dit is niet de standaardconfiguratie van IIS en gaat in tegen al onze normen.” Aldus het blogbericht.
Volgens Microsoft hoeven gebruikers die IIS 6 standaard gebruiken, of Microsofts aanbevolen instellingen volgen, zich geen zorgen te maken. Anderen kunnen het best controleren of er aanpassingen mogelijk zijn om de veiligheid te verbeteren.
bron: ZDNet
Related Partner info »
Panda Security lanceert bètaversie van Panda Global Protection 2013
27/04/2012 | pressrelease | Partner info : Panda Security NV
Terremark introduceert Enterprise Cloud Private Edition
27/04/2012 | pressrelease | Partner info : Terremark, a Verizon Company
Cloudbattle tussen Google en Microsoft
26/04/2012 | seminar | Partner info : Cloudbattle
Avanade bouwt volledig geïntegreerd ERP-systeem voor de Federale Politie
27/01/2012 | case | Partner info : Avanade
Uniforme ERP-oplossing stroomlijnt bedrijfsvoering
28/10/2011 | case | Partner info : Avanade
Introductie Cloud Computing
07/07/2011 | whitepaper | Partner info : Terremark, a Verizon Company
Interoutes certified SIP Trunking
07/04/2011 | productfiche | Partner info : Interoute Belgium NV
Nog meer op ZDNet »
To .be or not to .be
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Silent Hill - Downpour
Game
Na een ongeluk met een gevangenistransport kom je in het onheilspellende Silent Hill terecht. Wapens zijn schaars, dus zal je moeten improviseren om te overleven.
