Все новости от 11 апреля 2002 г.

Microsoft выпускает «критический» секьюрити-патч для IIS

Microsoft рекомендует немедленно установить этот патч всем заказчикам, веб-сайты которых функционируют на операционных системах Windows NT 4.0, Windows 2000 или Windows XP Professional. «Это действительно очень важно», — сказал менеджер Microsoft Security Response Center Скотт Калп (Scott Culp), добавив, что компания постарается как можно быстрее довести подробные инструкции до всех, кто эксплуатирует IIS 4.0, 5.0 или 5.1.

Три поправки Microsoft называет критическими для всех трех версий IIS и одну — для IIS 4 и 5. Другим новым уязвимостям присвоен средний или низкий уровень опасности. В прошлом подобные лазейки в широко распространенном ПО приводили к тому, что многие веб-серверы подвергались атакам, например, червя Code Red.

Однако есть сообщения, что и сам новый патч вызывает проблемы на некоторых серверах. Компания SecurityFocus утверждает, что после его установки некоторые функции модуля IIS SiteServer, обеспечивающего аутентификацию пользователей и персональную настройку веб-сайта, перестают работать как следует. «Аутентификация SiteServer становится ненадежной, — говорит директор по инжинирингу SecurityFocus Оливер Фридрихс (Oliver Friedrichs). — Об этой проблеме уже известно. Те, кто звонит в Microsoft, получают специальную дополнительную поправку». Представители Microsoft пока не смогли подтвердить наличие проблем, связанных с только что выпущенным патчем. Такие проблемы редко, но случаются.

Несмотря на вновь выявленные ошибки, которые напомнили о прошлых проблемах безопасности ПО Microsoft, значительные усилия по предупреждению об этих ошибках всех заказчиков и тот факт, что две из них были обнаружены самими инженерами компании, сигнализируют о гораздо более серьезном, чем раньше, отношении Microsoft к вопросам безопасности. Так считает Марк Мэйфрет (Marc Maiffret), главный специалист компании eEye Digital Security, которая специализируется на защите сетей. Это одна из тех компаний, которым Microsoft выразила признательность за предупреждение о серьезных ошибках. «Я всегда говорил: только когда они сами начнут по-настоящему искать уязвимости и объявлять о них, можно будет утверждать, что они действительно заботятся о безопасности, — комментирует Мэйфрет. — Мне кажется, что данный случай служит наглядным тому подтверждением».

Кроме публикации своих рекомендаций и рассылки их более чем 300 тыс. подписчиков почтовой рассылки, Microsoft непосредственно связывается с крупными компаниями и со всеми, кто недавно обращался за помощью по программному обеспечению веб-сервера. «На этот раз Microsoft проявила себя с лучшей стороны, — комментирует Мэйфрет. — В этом убедится гораздо более широкая аудитория, чем обычно, и можно надеяться, что патч дойдет до гораздо большего числа людей».

В январе после обращения Билла Гейтса к сотрудникам компании в Microsoft началась так называемая инициатива Trustworthy Computing. В конце января и начале февраля компания провела 4-часовой семинар по безопасности среди почти 9000 своих разработчиков, продакт-менеджеров и тестеров. После курса обучения группы, отвечающие за каждый из более чем 70 компонентов, составляющих операционную систему Windows, проверили код на возможные проблемы безопасности.

Две проблемы, обнаруженные инженерами компании, были выявлены не в ходе той проверки, однако новый курс на обеспечение безопасности сыграл важную роль, заставив разработчиков серьезнее относиться к потенциально проблематичному коду, отметил Калп из Microsoft. «Мероприятия по повышению безопасности еще не окончены, и я не могу утверждать, что данный патч — прямой результат этих мероприятий, — говорит он. — Но факт остается фактом: узнав об этих уязвимостях, мы занялись соответствующими участками кода и смогли обнаружить новые проблемы».

Секьюрити-патч является кумулятивным — он включает в себя все прочие поправки, выпущенные отдельно. Кроме того, он устраняет 10 вновь обнаруженных проблем безопасности, влияющих на IIS. IIS 5 подвержен влиянию всех новых уязвимостей, IIS 4 — девяти, а IIS 5.1 — восьми. Бета-версии .Net Server 3605 и выше уже включают эти поправки. В .Net Server входит IIS 6.

Многие из новых уязвимостей связаны с так называемым переполнением буфера или атаками типа denial-of-service, которые выводят сайт из строя. Чтобы вызвать переполнение буфера, атакующий вводит в какое-нибудь поле — как правило, в поле адреса — больше символов, чем оно может принять. В некоторых случаях лишние символы могут исполняться как программа, что позволяет злоумышленнику получить контроль над компьютером в обход мер безопасности. Microsoft рекомендует операторам IIS либо загрузить патч отдельно, либо, если они работают на Windows ХР, исправить ошибки при помощи функции автоматического обновления. Патч IIS 4 требует, чтобы на Windows NT Server был установлен Service Pack 6a. Патч IIS 5 применим к Windows 2000 с Service Pack 1 или 2. Патч IIS 5.1 Microsoft рекомендует применять к системам под Windows XP Professional.

Патч IIS 5 будет включен в Windows 2000 Service Pack 3, который проходит бета-тестирование. Поправки для IIS 5.1 будут включены в Windows XP Service Pack 1, бета-тестирование которого должно начаться в следующем месяце.

Кроме установки этих патчей, Microsoft рекомендует операторам IIS загрузить и установить модуль IIS Lockdown Tool 2.1, отключающий необязательные функции, которые, если оставить их включенными, могут стать лазейками для хакеров. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	Peter 11 Apr 2002 3:31 PM
Сейчас всякие начнут MS клеймить: вот, дескать какой глюкавый софт у МСа, опять патч выпустили!!. По описаниям, они, по-моему, давно уже выпустили заплатки под те уязвимости, которые устраняются этим патчем. Просто сейчас сделали заплатку для ленивых.
	Vct - bvpgavmrp.vladivostok.ru 12 Apr 2002 5:12 AM
Любители копаться в продуктах МС оказывают ей огромную услугу. Чем больше они будут находить глюков, тем совершеннее будут эти продукты.
	Chkaloff 12 Apr 2002 10:10 AM
Похоже, что MS свернула с экстенсивного пути на интенсивный по отношении к security. Это не может не радвать.
	WhitePoint 12 Apr 2002 10:17 AM
2 Peter: И не надейся.
	none 12 Apr 2002 1:14 PM
2:Chkaloff отношение, может быть, немного изменилось. Путь - прежний(экстенсивный). Сначла - налабать невпупенное колличество кода, кое-как его увязать;затем - ковыряться в этом, пытаясь найти ошибки. Лет через сто, если ничего не допишут( что не реально :) - ошибки вычистят
	vIv 12 Apr 2002 1:24 PM
>>> 2editor: лучше выпуск секьюрити- и других патчей МСами не оформлять в виде статей... просто в конце месяца общую цифру сообщать, - и всё.
	Chkaloff 12 Apr 2002 1:26 PM
2 none: >Путь - прежний(экстенсивный). Сначла - налабать невпупенное >колличество кода, кое-как его увязать;затем - ковыряться в >этом, пытаясь найти ошибки. Откуда такая уверенось? В в MS работаете? Или у вас есть основание полагать, что MS в настоящий момент пишет полохой код?
	vIv 12 Apr 2002 1:31 PM
хорошего не пишет, среднего тоже... но что-то пишет... какой пишет? =)
	vIv 12 Apr 2002 1:33 PM
что-то подзадалбали уже сообщения об ошибках МСов... серёзно! Прям как каждый день по радио три раза сообщать "сегодня взошло Солнце"... ежу понятно, что взошло, а на второй месяц - бесить начинает.
	RoN - rodionlenta.ru 12 Apr 2002 5:32 PM
То, что в продуктах МС ошибки находят меня только радует. Мне бы было тревожно, если бы их наоборот там не находили. Ошибки есть в любом продукте, если сообщений о них не появляется - значит их там просто не ищут.
	vIv 12 Apr 2002 8:01 PM
их находят постоянно, - нафига по два раза в неделю сообщать об очередной посадке в лужу?
	vIv 12 Apr 2002 8:01 PM
ЭТО уже давно перестоло быть событием...
	Qrot 13 Apr 2002 1:59 AM
2vIv: видишь ли, не все подписаны на security и vuln рассылки. хотя можно было бы просто раздел завести специальный и туда помещать сообщения обо всех найденных серьезных уязвимостях - мне эти статьи тоже надоели... да и вообще по содержанию - то МС то линукс то МС то линукс, хоть бы что нить новое придумали. такое впечатление что что-то существенное делает только МС с красноглазыми
	vIv 13 Apr 2002 4:03 PM
бодрая поступь Линуха нервно курит в сторонке рядом с регулярными сообщениями о дырах МСов... так что Линуха я скорее отношу к регулярным приколам, а вот дыры МСов - к назойливому мусору...
	Skull - sibskullmail.ru 14 Apr 2002 12:34 PM
2Qrot: Нифига! Еще мертвую крошку Be вспоминают! :)))
	eXOR - billgmicrosoft.com 15 Apr 2002 2:05 PM
2 Qrot: А чем тогда это будет отличаться от рассылок... я вот например для них отдельный ящик держу, а когда на zdNET проходит статья о чем - нить интересном - лезу разгребать этот ящик, а иначе просто заваливает спамом. > что что-то существенное делает только МС с красноглазыми Увы сейчас имхо так и есть. Кстати а какого цвета у тебя с похмелья глаза? :-). Когда жуткий бодунищще и в "роте кака", и голову засовываешь в холодную воду чтобы не развалилась... итд итп - Ы? ;-).
	Qrot 15 Apr 2002 9:49 PM
2eXOR: с бодуна красного конечно :) равно как и с недосыпа. в таком состоянии разве что хорошее напишешь? насчет рассылок - а нафиг они тебе нужны если ты их не читаешь? я подписан не несколько - нет никакого спама.. он ИМХО только на обсуждениях бывает, а если просто описание баги - то только описание баги и ничего лишнего. Правда, и приходят не по всем ошибкам а только по критичным
	eXOR - billgmicrosoft.com 18 Apr 2002 9:11 AM
2 Qrot: >в таком состоянии разве что хорошее напишешь? For whom how :-). > то только описание баги и ничего лишнего Так - то оно так... просто их много... не успеваю разгрести... по 5000++ сообщенний в день.