Błędy bezpieczeństwa w Internetowych Usługach Informatycznych

Firma Microsoft potwierdziła istnienie luki w mechanizmach zabezpieczeń Internetowych Usług Informacyjnych w wersji 6.0, 5.0 oraz 5.1. Nieprawidłowe działanie rozszerzenia WebDAV może umożliwić niepowołanym osobom dostęp do chronionych hasłem katalogów.

Dzięki temu mogą oni bez przeszkód pobierać i umieszczać pliki na serwerze. Według Nicolasa Rangosa (odkrywcy luki) przyczyna tkwi w błędnie interpretowanych znakach Unicode przy dekodowaniu adresów URL w żądaniach HTTP obsługiwanych przez rozszerzenie WebDAV. Błąd ten pozwala atakującemu na obejście zabezpieczeń mechanizmu uwierzytelniania.

Jak się zabezpieczyć?

Do czasu opublikowania stosownych poprawek, Microsoft proponuje kilka rozwiązań:

• wyłączenie WebDAV,
• zweryfikowanie i ewentualną zmianę uprawnień ACL dla anonimowych użytkowników (konto IUSR_NazwaKomputera),
• skorzystanie z narzędzia UrlScan do wyeliminowania niepoprawnych adresów URL.

Przypominamy, że w przypadku IIS 6.0, funkcja WebDAV jest domyślnie wyłączona, a konto anonimowego użytkownika nie posiada uprawnień do zapisu. Firma Microsoft uspokaja również, że błąd ten nie dotyczy najnowszej wersji usługi IIS 7.0.

Więcej informacji na temat luki w usłudze IIS znaleźć można pod TYM adresem.

Trafiłeś na tę stronę szukając:

• skasowane wiadomosci ntalk