На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2001-6-19 на главную / новости от 2001-6-19
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 19 июня 2001 г.

Над вебом нависла новая угроза

В понедельник Microsoft объявила об обнаружении серьезной бреши в защите своего флагманского ПО веб-сервера: хакеры и вандалы могут получить контроль над компьютерами, управляющими более чем 6 млн сайтов.

По заявлению службы новостей CNET News.com, впервые сообщившей об этом, дефект обнаружен в компоненте Microsoft Internet Information Service (IIS), устанавливаемом на веб-серверах по умолчанию. «Практически любой веб-сервер (использующий ПО Microsoft) оказывается беззащитным перед атакой, — комментирует Марк Мэйфрет (Marc Maiffret), ведущий специалист компании eEye Digital Security, обнаружившей лазейку. — Воспользовавшись соответствующей программой, хакер может получить доступ на системном уровне».

В категоричной по форме рекомендации на своем веб-сайте Microsoft призывает заказчиков немедленно загрузить поправку и защитить свои сайты, прежде чем в интернете появятся инструменты, использующие обнаруженную лазейку. Она присутствует во всех версиях IIS для Windows NT, Windows 2000 и ограниченной бета-версии Windows XP. Это означает угрозу почти для 6 млн сайтов, или 21% всего веба, — если верить майскому отчету Netcraft.

Лазейка находится в коде, который Microsoft IIS использует для поддержки индексации — функции, ускоряющей поиск на веб-серверах. Модуль Indexing Service ISAPI Filter некорректно контролирует переполнение буфера. По оценке Мэйфрета, этот компонент установлен по умолчанию почти на 50% всех серверов IIS — это примерно 3 млн. серверов. Эксперты полагают, что соответствующее хакерское ПО появится уже в ближайшие дни, если не часы. Атакующие могут получить полный контроль над компьютером, на котором установлен веб-сервер: инсталлировать и выполнять программы, извлекающие данные из базы данных, модифицировать веб-сайты и в некоторых случаях использовать веб-сервер в качестве плацдарма для атак на другие сетевые ресурсы жертвы.

Представители Microsoft сообщили, что лазейка не представляет угрозы для тех администраторов серверов, которые следуют строгим правилам, перечисленным в своде security checklist Microsoft. Впрочем, и те, кто четко придерживается этих правил, должны установить предложенный компанией патч.

Аналитики считают, что ошибка вряд ли серьезно повредит Microsoft — даже стараниям компании продвигать свое ПО на такие рынки, как управление финансами. «Подобные вещи подрывают доверие заказчиков, но люди тянутся к любым приложениям от Microsoft, и эта тенденция продолжится, — говорит аналитик Gartner Виктор Витман (Victor Wheatman). — Просто надо держать ушки на макушке. Из-за сложности серверного ПО нереально рассчитывать на то, что оно будет свободным от огрехов. Каждая новая возможность или функция может открыть лазейку в операционную систему, которая казалась пуленепробиваемой. Защита никогда не бывает полной. Она часть процесса совершенствования».

Учитывая это, Microsoft, по словам представителя International Security Systems Криса Роуланда (Chris Rouland), заслуживает высокой оценки за быстроту реакции. «Скорость, с какой Microsoft реагирует на обнаруженные ошибки, невероятна, — говорит он. — Корпорация предлагает информацию и поправки гораздо быстрее, чем разработчики ПО open-source».
Обсуждение и комментарии

Stek - vadimfreemail.lt
19 Jun 2001 12:38 PM
Судя по статье весь вэб использует IIS :) Ну что-же, еще пара тысяч серваков ленивых админов ляжет, кто-то перейдет на ункис, кто ругнет гейтса ... и так до новой дыры.
 

-
19 Jun 2001 1:07 PM
Перечитай статью еще раз
 

AT - 220220pager.icq.com
20 Jun 2001 3:15 AM
Ага ... Все кто не ленивые убирают все что не исспользуется с серваков.
Те же asp/idq/ida расширения удаляются с сервера за 2 минуты, запуск скриптов и доступ на запись на весь диск IIS процессу - еще 2, средство для аминистрирования через Веб и скрипты примеров - 2, доступ к БД и принтерам -2, средства авторизации и перезапуск сервера при падении - 2, ... можно продолжать ???

В результате получается очень быстрый и практичный сервер для размещения статических домашних страничек фирмы ;o)

Всякому софту свое место.
 

Skull - sibskullmail.ru
20 Jun 2001 4:45 AM
O! Я думал, Апокалипсис пришел! А
всего-то пятая часть серверов на каком-то
галимом отстое типа IIS может лечь! Ну и
хрен с ними. Иначе таких админов не
научишь.
Вот понимаю, если бы настолько же
серьезные дыры были в Apache(тык он
стоит на серверах количеством в 3(!) раза
превосходящем IIS), TuX или Domino!
Тогда можно было бить тревогу. А так
можно ожидать крушений домашних
страничек любителей Винды и сайтов
мелких контор "Рога и копыта". ИМХО,
умные и серьезные дяди глюк ставить не
будут.
 

муму
20 Jun 2001 5:56 AM
Ну как же ты не понимаешь, что IIS лучший!..
ведь это - бескомпромиссный вариант, я так считаю...
 

МК
20 Jun 2001 6:34 AM
Почему в программах MSoft столько дыр, связанных с переполнением буфера? Ясно, какие у них там программеры - кликать мышью по чекбоксам в VisualC научились, а как работает написанный код (не ими написанный, а ВижуалСями и билдерами), не понимают. Для меня, начинавшего с ассемблера, переполнение буфера всегда было как отче наш.
 

Добрый
20 Jun 2001 6:48 AM
Как говорил за Штирлица Копелян: - "Важно уметь войти в разговор, но еще важнее выйти из него. Больше всего запоминается последняя фраза."
Первой громкой фразой был заголовок, последней то как быстро, в отличии от опен соурс, латаются МС дыры. Знайте наших.
 

eXOR
20 Jun 2001 6:59 AM
Интересно соотношенние скорости выпуска патчей
отрицательно или дробно ;-))
0<t(OS)/t(M$)%lt;1 либо
t(OS)-t(M$)<0

--------
берем вторую часть по модулю - получаем, что M$
делает патчи быстрее ;-))...
 

Egres
20 Jun 2001 8:45 AM
AT: согласен с тобой полностью....

Но только все это уже не смешно, каждая неделя по дыре, причем серьезной.

2Добрый:Первой громкой фразой был заголовок, последней то как быстро, в отличии от опен соурс, латаются МС дыры. Знайте наших.
=========================================
А вот это спорно. После того как стало известно о дырах в BIND, заплатка появилась на следующий день.
 

Captain Gray - captainsinn.ru
20 Jun 2001 8:54 AM
Троекратное ха. LMD. Просто LMD.
 

Igor
20 Jun 2001 9:12 AM
2 MK: Когда Вы обучались программированию первым вашим языком был ассемблер?
 

SOVA
20 Jun 2001 10:05 AM
По моему не столько важно что так часто проявляются дыры, они есть у всех, а самое главное что они в сжатые сроки исправляются MS! Вот это важно! Потому как народ не страдает в итоге!

МК: да ты задрал! Сядь и напиши сервер подобный IIS ... крутой программист! Через неделю пойдешь и застрелишься от того что был слишком высокого мнения о себе. Что ты пишешь вообще? программы для печати накладных?
Ну достали... жуть!
 

Danil
20 Jun 2001 10:13 AM
2 MK: ну и что?...спробайте на асме написать ченить вроде IIS...хрень эт все...и билдер и MSVC САМИ генерят очень мало кода...которы в основном имеет отношение к интерфейсу (в широком смысле слова)...все мясо все равно пишется руками....а интерфейсы - рутина...глюки с перепонением буфера - скорее всего следствия "аггрессивной" оптимизации...
 

Snake - tomilinrambler.ru
20 Jun 2001 11:19 AM
Коллеги, Вам не кажется, что существование дыры *во всех* релизах достаточно характеризует качество тестирования?
Сколько лет прошло с момента выпуска,
а дыру нашли сейчас...
Вот и ответ на вопрос, правильно ли подходить "по-майкрософтовски" - писать много-быстро и якобы тестировать.
А обсуждение инструментария - дело весёлое.

 

Tharkun
20 Jun 2001 12:04 PM
=====
Фундаментальный закон теории ошибок.
НА ОШИБКАХ УЧАТСЯ.

Следствия:
1. Программист, написавший программу, становится ученым. 2. Чем больше программист делает ошибок, тем быстрее он становится ученым. 3. Крупный ученый-программист никогда не пишет правильные программы.

Замечание:
На то он и ученый.
=====

И чего вы после этого хотите от МалоМягких?
 

Кирилл
20 Jun 2001 12:30 PM
MS как раз известна тем, что очень тщательно тестирует свои продукты. Я даже где читал что у них тестеров больше чем програмистов.

Что же касаеться этой ошибки, насколько я понял это проблема не IIS а Index Server.

2Skull Это апач обычно стоит на сайтах мелких контор и домашних страничках. А IIS как раз обычно работает на крупных коммерческих сайтах. И кстати как показатель, в доменах gov и mil серверов на IIS больше чем на апач.
 

Vato
20 Jun 2001 12:48 PM
2Кирилл: Да в М$ тестеров больше - но и в ИБМ - тоже. А Насчет IIS - то крупные компании предпочитают сочетание Lotus+AS400.
*.gov *.mil - это меньше 0.5% от количества серверов коммерческих компаний. А то, что в .de и .eu законодательно запрещено их использованин для гос и военных информресурсов?
 

rGlory
20 Jun 2001 12:51 PM
2 Кирилл
>MS как раз известна тем, что очень тщательно >тестирует свои продукты. Я даже где читал что у >них тестеров больше чем програмистов.
Даже больше? Круто? А их должно быть на порядок больше. Но и при этом количество, не значит качество. В общем ты все прально сказал, тока забыл тщательно в кавычки взять.
 

Vato
20 Jun 2001 1:00 PM
Мне довелось как-то проверять избыточность кода, сгенерированного разными средами. так нефункциональная избыточность (то есть код, который НИКОГДА не выполняется) у М$ - самая высокая, до 20%. А это и есть "лазейки" для хака.
Так что тестируй не тестируй - все равно, даже при самой крутой оптимизации будут и переполнения буферов и пр. лазейки. А вариант весьма устойчивого и функционального httpd на ассемблере занимает не так много кода...
 

Snake - tomilinrambler.ru
20 Jun 2001 1:43 PM
2Kirill
Если Вы через n лет обнаруживаете потенциальный buffer-overflow, при том, что проблемы переполнения обсуждаются уже не год,
то говорить о качественном-тщательном-хорошем тестировании, по-моему, просто не приходится.
Важен не процесс - собрали 10**k тестеров, а результат - необнаруженные фундаментальные уязвимости.
Учитывая, что МС пользуется средствами девелопмента, разработанными МС - все камни в один огород...
 

Noname
20 Jun 2001 4:15 PM
2Vato: А можно подробнее. Может быть та самая избыточность от программера, а не от среды. Кроме того, избыточность - это всего лишь место. Надо туда еще управление передать. А для этого надо корректировать функциональный код. Да и к переполнению буферов это не имеет никакого значения. Реализация потоковых буферов с гарантированной полосой пропускания - сложная задача.
 

-=Alex=- - from-alexfuckyou.co.uk
20 Jun 2001 4:41 PM
Ребята, хватит спорить. По-моему уже всем давным-давно известно что IIS+NT гораздо дешевле Unix'a в обслуживании, потому как у них там (в америке) недостаток грамотных Unix специалистов, да и просто сепциалистов тоже. Я предпочитаю Free/OpenBSD, Apache+php. И уже на протяжении достаточно длительного времени с улыбкой читаю багтрэки и cert'ы. Ежели не хватает ума или мужского достоинства освоить Unix, так и скажите. И нефиг делать из IIS'a супер-пупер сервер. Если я ставлю апач, я могу пересмотреть _ВЕСЬ_ исходный код. А в случае M$ я получаю грамотное со стороны юристов M$ лицензионное соглашение, читая которое понимаю, что M$ не несет никакой ответственности за ущерб, принесенный использованием её продуктов. Вопрос: а в чем, собственно, поддержка ???
 

Внимательный
20 Jun 2001 6:39 PM
2 Vato: это полная чушь - то, что ты написал про "...в .de и .eu законодательно запрещено их использованин для гос и военных информресурсов" - по крайней мере, в отношении тех задач, где используются не специальные компьютеры (защищенные), а типовые. Никакого запрета не было и нет, это старая "утка", придуманная линуксоидами год-два назад и давно опровергнутая теми самыми DE & EU :-). Не стоит пересказывать откровенную туфту...
 

me - userinternet.com
20 Jun 2001 6:55 PM
что M$ не несет никакой ответственности за ущерб, принесенный использованием её продуктов
=====
Алексу...
ХА-ХА-ХА. Узнаю этот детский лепет:)) Законы почитай, да? "Программы для ЭВМ" относятся к объектам авторского права (по крайней мере, у нас, в России, и, по всей видимости, в Европе), поэтому на _чисто законодальном_ уровне ты никогда не добьешься возмещения убытков от кого бы то ни было. И уж тем более от "красноглазых студентов"(с)Irsi, которые твой обожаемый апач пишут. И об этом все знают. Кроме, видимо, тебя, Алекс...
 

me - userinternet.com
20 Jun 2001 6:58 PM
Забыл добавить:
====
Если я ставлю апач, я могу пересмотреть _ВЕСЬ_ исходный код
====
И зачем? Чтобы всем рассказать, какой ты крутой?:)) А если тебя попросить баг какой-нибудь исправить, то как ты это будешь делать? Сколько раз код надо посмотреть? Сколько времени уйдет на отладку и поиск бага? Ты ваще подумал, че сказал?
 

-=alex=-
20 Jun 2001 7:58 PM
2me:
По поводу прав: именно это я и имел ввиду. Когда говорят что мол opensource хоть и на халяву, зато без поддержки и гарантий. Но ведь MS тоже ? Так зачем, собственно, покупать M$ ??? По поводу быстроты выхода патчей. Во-первых никому не секрет что по кол-ву дыр M$ на первом месте, во-вторых если вышел bugtraq, мне не надо ждать милости от M$, я могу в исходниках все сам сделать, cert.org хорошо документирует дыры.
Это все относится и к твоему второму вопросу. И третий, ты, собственно, сколько серверов админишь ? Так вот, если у тебя их более десятка, при переходе на UNIX почувствуешь разницу, и головняк на порядок упадет. И нечего так слепо верить в M$. Удачи тебе.
 

Billy
20 Jun 2001 9:28 PM
2me
Не гони, в opensource на порядок лучше сапорт, чем в МС (ну, если под сапортом понимать то, что под этим словом понимают нормальные люди)
 

Skull - sibskullmail.ru
21 Jun 2001 6:10 AM
2 Кирилл: ты про домашние странички
владельцам >70% web-серверов
расскажи! Можешь и крупным
корпорациям рассказать - их позабавить!
В гос. органах IIS стоит по 3 причинам,
далеким от технической стороны: 1) взятки
со стороны MS и ее дилеров. 2)
чрезвычайно низкий уровень
профессионализма тех. специалистов в
этих конторах. 3) слабоконтролируемые
бюджетные потоки, идущие черт знает на
какие нужды.
 

Maximka - justmmail.ru
21 Jun 2001 7:02 AM
2Skull: Ни одна из приведеных тобой причин не может считаться объективной. Всё это - пустословие.

2Billy:
===================
в opensource на порядок лучше сапорт, чем в МС (ну, если под сапортом понимать то, что под этим словом понимают нормальные люди)
===========
:)))
Ну, если нормальные люди (я так понимаю, ты имел ввиду линуксоидов) - под саппортом понимают самосаппорт...

 

eXOR
21 Jun 2001 10:52 AM
2 Maximka:
www.redhat.com сначала попробуй, потом
рассказывай - ok?
 

me - userinternet.com
21 Jun 2001 11:43 AM
Когда говорят что мол opensource хоть и на халяву, зато без поддержки и гарантий. Но ведь MS тоже ? Так зачем, собственно, покупать M$ ???
=====
Не покупай. Кто ж тебя заставляет? Речь-то о чем? О том, что open source не просят деньги за свои баги? Так и МС за них не просит. Она просит деньги за свой труд, за свои инновации, за те инструменты, которые позволяют делать почти все достаточно просто.

=====
по кол-ву дыр M$ на первом месте
=====
По моим данным, на первом месте - слово Linux. Именно _слово_, так как его пихают в названия продуктов все производители этого барахла. А вот МС в последнее время отстает от этих "лидеров"... Все дальше и дальше.

=====
я могу в исходниках все сам сделать, cert.org хорошо документирует дыры.
=====
В подавляющем большинстве случаев, сообщение о баге приходит ПОСЛЕ того, как его исправили. Чтобы хакеры не резвились. Это касается как продуктов МС, так и всех остальных.
Тебе действительно больше нечем заняться на работе? И как cert.org документирует баги? Насколько я помню, такие, как они пишут что-то типа этого:
БАГ: Хреновая грамматика во фразе "Hello, world!"
ФИКС: Файл /src/linux/core/kernel.c, строка 234. До исправления: printf("Hello world!");, необходимо: printf("Hello, world!");
Так, что ли? :)) Очень интеллектуальный труд. Наверное, специально для линуксовых админов, чтобы особенно не ленились на работе, и вместо запуска одной проги занимались тем, что правили бы ядро. И нафига?
А если фикс еще не известен? Сам будешь исправлять? Забьешь, ведь...

=====
ты, собственно, сколько серверов админишь ?
=====
Не админю я ничего:)) Я программер.

=====
И нечего так слепо верить в M$.
=====
А я привык верить тем компаниям, чьи продукты не вызвали у меня отвращения.
 

Shadow
21 Jun 2001 12:49 PM
2me:
По роду занятий, одно время бесконца ковырял апач.
Очень удобно - нужна какая-то фича - добавляешь.
 

me - userinternet.com
21 Jun 2001 12:52 PM
нужна какая-то фича - добавляешь
=====
С одной стороны, это очень клево, но с другой... Ты уверен, что твои усилия дешевле приобретения новой версии? Далеко не всегда, не так ли?...
 

Skull - sibskullmail.ru
21 Jun 2001 3:35 PM
2 Maximka: ну меня просто умиляют
подобные высказывания: типа, все, что ты
говорил - треп. Весьма достойный
показатель интеллекта любителей
Windows! Ж)
 

ZUY
21 Jun 2001 4:48 PM
2me:
Если прогамер, то какого хрена бздиш про администрирование и поддержку?
 

me - userinternet.com
21 Jun 2001 4:51 PM
Если прогамер, то какого хрена бздиш про администрирование и поддержку?
======
Ни слова не сказал про администрирование или поддержку. Читай внимательней.
 

Dmitry Grigorovich - odipconsultant.com
27 Jun 2001 4:13 PM
По теме статьи

Откровенная лажа - это фраза о том, что Microsoft быстро выпускает patch-и. За примерами далеко ходить на надо
1) SSL в почте OE4 не работал, не работает и видимо уже не будет работать как надо
2) Некоторые security фиксы появляются через месяц после выхода соответствующего бюллетеня
Так месяц и висит надпись - скоро будет выпущен патч :)
3) свежий баг - MS00-077 - несколько дней висит надпись: The patch for Windows NT 4.0 systems will be available shortly.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-077.asp

Офигенные дыри в OpenSource тоже быстро затыкаются
- например за последние месяцы вышли версии samba-2.0.8, 2.0.9. 2.0.10
Ничего не добавлено, только исправления багов
Тоже кстати многолетней давности :)

На самом деле мне интересно другое - кто находит эти ошибки. В последнее время Microsoft стал в своих бюллетенях писать - спасибо такому-то товарищу или такому-то сайту за указанную ошибку.
Но ни разу не видел например такой надписи:
Discovered during internal source code auditing
А в FreeBSD например такое встречается.
 

Bill Gates - billmicrosoft.com
3 Jul 2001 12:59 PM
Люди. Зачем пререкатся с любителями M$. Любят M$ - флаг им в руки. Значит они его достнойны. Но я не ценю синтаксис. Я ценю семантику. И потому apache это как раз то что доктор прописал. Нервы - вещь очень ценная ;)
 

Qwerty - Qwerty
17 Jul 2001 6:58 PM
Вопрос к админам Unix'a - а чего вы так Мелкософт не любите? Кому-то нравиться php, а кому-то asp, в чем собственно проблема? Выбор должен быть! А главное – что нужно сделать конкретно, и с минимальными затратами.
И персонально для АМИНА ZUY - а ты пробовал написать прогу которая будет понятна большинству а не только тебе (если пробовал конечно)? А если не пробовал, так и не гони на программеров!
 

eXOR
19 Jul 2001 10:20 AM
2 M$ Lovers:
А как в IIS уже наладили RETR? ;-EEE
 

 

← май 2001 13  14  15  18  19  20  21  22  25 июль 2001 →
Реклама!
 

 

Место для Вашей рекламы!