|
 Все новости от 20 октября 2000 г.
Дыру в защите Microsoft IIS скрыть не удалось
Вот уже по крайней мере неделю в онлайновых конференциях обсуждается серьезная дыра в защите веб-сервера Microsoft. Она позволяет злоумышленникам читать и выполнять файлы на веб-сайтах, просто обращаясь к определенному веб-адресу.
Во вторник Microsoft опубликовала бюллетень, посвященный этой проблеме, в котором просит заказчиков залатать свои системы и предупреждает: «Не стоит недооценивать разрушения, которые может произвести злоумышленник».
Ежедневно выявляются десятки пробелов в защите — в большинстве случаев энтузиастами, которые немедленно сообщают о них софтверным компаниям. Однако некоторые проблемы становятся достоянием хакеров и держатся в секрете. Это так называемые дыры zero-day, которые недобросовестные программисты могут использовать, зная, что известной заплатки для них нет.
Проблема, о которой идет речь, открыто обсуждается в кругу хакеров. В субботу, воскресенье и понедельник тысячи представителей службы связи с заказчиками Microsoft связывались с клиентами во всем мире, убеждая их в необходимости немедленно установить заплатку. «Мы говорили им: „Позвоните своим заказчикам, разбудите их, пусть они залатают свои системы — дело очень серьезное”, — рассказывает сотрудник бригады экстренной технической помощи Microsoft Скотт Калп (Scott Culp).
Проблема сервера
Дыра позволяет злоумышленнику, вооруженному единственным URL со специальными символами, получить доступ к любому файлу на веб-сервере. Он может исполнять программы, хотя и не видит паролей администратора. По счастливой случайности заплатка, которую Microsoft выпустила еще в августе, решает и эту проблему. Но многие заказчики так и не установили ее.
Первое упоминание о проблеме появилось 10 октября в анонимном сообщении на хакерской доске объявлений, автор которого утверждал, что он может выполнять команды на веб-серверах под Microsoft, просто добавлив определенную строку в конец веб-адреса. Этим заинтересовался некто Rain Forest Puppy, который в прошлую пятницу привлек к этой проблеме внимание Microsoft.
Специальные символы вскрывают систему
Считается, что веб-сервер Microsoft IIS отвергает запросы к любому файлу, не высвечиваемому на веб-странице. Но, добавив к URL некоторые специальные символы, можно обмануть фильтр, предупреждающий такие запросы. Это позволяет видеть файлы, расположенные на жестком диске, обслуживающем веб-страницы.
По словам Калпа, Microsoft изучала содержание хакерских дискуссий весь уикэнд, но не нашла там точных указаний на то, как пользоваться этой дырой. «Нельзя сказать, как широко распространились эти сведения», — говорит он.
От редакции ZDNet Россия. Распространились они довольно широко. Вчера мы получили два письма от доброжелателей с подробным описанием дыры и приложением полного списка файлов, хранящихся на нашем веб-сервере.
|
 |
 | Бындю Ион - bandiu maib.md
20 Oct 2000 1:01 PM |
Ай да Microsoft
Интересно, UNIX также позволяет легко проникнуть ? |
|
| oleksa - oleksayandex.ru
20 Oct 2000 3:25 PM |
| Да, но это же только для IIS 3.3, насколько я понял. В 4.0 уже все нормально |
|
| Антон Яковлев - antonyakovlev.ru
20 Oct 2000 3:57 PM |
"This is a serious vulnerability, and Microsoft recommends that all customers using IIS 4.0 or 5.0 take action immediately to protect their systems."
Причем здесь 3.3? |
|
| Shadow
20 Oct 2000 7:06 PM |
2Бындю Ион
Неа... Это зависит от того, как настроить :)))))))
Люди, привыкшие к Microsoft, понятия не имеют, что есть Posix Regular Expressions - а вот я ими всё и фильтрую нах....
:)))))))) |
|
| Bishop
20 Oct 2000 8:55 PM |
| Базар и выеденного яйца не стоит. Нормальный админ должен быть подписан на Microsoft Security Bulletins и ставить вовремя заплаты. Я ее еще в августе поставил... |
|
| Вкуц
21 Oct 2000 5:27 AM |
| 2 Бындю Ион Позволяет. Фо фрюхе это известная фенечка с Фингером :)))) И в остальных есть... Патчить надо вовремя... |
|
| Chkaloff
21 Oct 2000 1:09 PM |
to Shadow
>Неа... Это зависит от того, как настроить :)
Это точно. Не от ОС, а от рук.
>Люди, привыкшие к Microsoft, понятия не имеют,
>что есть Posix Regular Expressions - а вот я ими
>всё и фильтрую нах....
Ну совсем не все... Да и люди, привыкшие к UNIX тоже в большинстве своем не понимают элементарных вещей на платформе Windows NT/2000.
Из всех написаных вами реплик в обсуждениях всех статей на тему Microsoft. Cоздается впечатление, что вы тоже не белемеса не понимаете в технологиях и особенностях платформы Windows NT/2000, но тем не менее, каждый раз не упускаете случая высказать свое "объективное" мнение на эту тему.
Я вообще не флеймер, и вообще редко пишу такие письма. Я допускаю, что вы гениальный Unix программер/администратор. И возможно под вашей опекой находится десятки серверов от линуха до солярки - я не знаю. Но то, что вы смотрите на все технологии Microsoft, как баран на новые ворота, и показываете свою не компетентность в данных вопросах - это смешно. |
|
| REX
21 Oct 2000 6:22 PM |
насколько я осведомлен, речь скорее всего идет о возможности атаки "буфер оверфлов" на стандартные мелкософтовские си-джи-ай скрипты.....
Если я правильно понял, то это давно не новость....8))
этой "новости" уже несколько лет......
....журналистам просто нужна сенсация... |
|
| Shadow
22 Oct 2000 5:28 PM |
2Chkaloff:
А там есть технологии?
:)))))))))))
|
|
| Hamet
23 Oct 2000 4:08 AM |
Да фишка стара как мир, фильтры и скрипты проставляемые по дефоулту вместе с ИИСом и по большей части неиспользуемые, дырявые. Убивайте всякие каталоги iissamples и пр. А также сампловые фильтра и пр. Нормальный аккуратный человек, даже если он и пользует ИИС, должен знать что у него на нём стоит и всё лишнее - нафиг, потому как всё лишнее всегда и всюду потенциальный источник заразы.
Будьте бдительны, товарищи!
Кто интересуется списками дырявых скриптов и фильтров шагайте на void.ru - там вам популярно по русски всё обьяснят и научат пользовать.
А статейка эта - какой-то бред со стороны ZDNet. Зачем о рядовых событиях писать... Будоражить умы юзверей?
P.S. 2Shadow:
"...понятия не имеют, что есть Posix Regular Expressions - а вот я ими всё и фильтрую нах...."
ты бы базар свой при помощи Posix Regular Expressions фильтровал для начала, умник
|
|
| Путешественник
24 Oct 2000 12:56 AM |
Некрасиво, ребята :((
Зачем же модерить так? Мы не сквернословили, не оскорбляли редакцию или обсуждающих. Просто высказали свое мнение, причем достаточно нейтрально.
Или не подставляйте себя с самого начала, или держите удар до конца! А то выходит совсем некрасиво :((( |
|
| kuk - kukirk.ru
24 Oct 2000 3:26 AM |
2Путешественник:
Ну как-же! Я достаточно конкретно высказал претензии по поводу работы
их админа...
За что и поплатился.
Видишь, первого моего сообщения-то нет - вырезали.
2All:
Где-же гластность-то?
Уж если режут сообщения - то какой смысл вообще их сюда писать?
Что-тогда за дискуссия получается?
К тому же, скорее всего, админ боится, что придадут огласке его
неквалифицированную работу. Хотя это и так видно. |
|
| Hamet
24 Oct 2000 6:06 AM |
| Админа ZDnet.ru - на мыло. |
|
| crazer - Nikita.Zelenskysevmorgeo.com
24 Oct 2000 1:05 PM |
Забавно
это чем то напмнило нашу (российскую) свободу слова:"У нас свобода слова, но говорить можно только то что угодно власти"
ещё пара таких вот закидонов и народ уползет от сюдова |
|
| chkaloff
24 Oct 2000 5:16 PM |
To Hamet
Тут не совсем так. Да действительно, по умолчанию поставленный IIS позволял используя директорию /scripts запустить cmd.exe. Но если пользователь может занать, где есть еще каталоги, в которых разрешен запус на стороне сервера, то можно использовать эту дыру и через них.
Т.е. я хочу сказать, что если убрать с web сервера каталог /scripts (и т.д.) то это дыру не закроет.
Я именно об этой дырке, про которую статья написана. |
|
| vasyak - vasyakchat.ru
24 Oct 2000 7:21 PM |
2 chkaloff: Как это не закроет? Закроет. И если не ставить систему на один том с вебом, то ничего у злоумышленника не выйдет. И если каталог InetPub не в корень тома кинуть, а куда-нибуль еще, то тоже не выйдет. И если системный каталог назвать не Winnt, а по-человечески, например W40NT_Rulez_Forever, то тоже облом гадам.
Наконец, надо нормально настроить права IUSR.
Вещи, в принципе, очевидные, так что если к администрированию относиться не спустя рукава, то все будет ОК. |
|
| chkaloff
25 Oct 2000 12:00 PM |
to vasyak:
>И если каталог InetPub не в корень тома кинуть,
>а куда-нибуль еще, то тоже не выйдет.
Ну если сделать не "..%c0%af..", а так
"..%c0%af..%c0%af.." или "..%c0%af..%c0%af..%c0%af.." то можно добраться.
Вот, если системый каталог находиться не на том же диске, что и InetPub или называется не Winnt, то тут действительно тяжеловато.
>Наконец, надо нормально настроить права IUSR.
Дак с этого начинать надо... :-)
|
|
|
