Fuori la megapatch per Internet Information Server

Una nuova patch cumulativa per IIS 4 e 5 include una decina di nuove vulnerabilitÓ, la pi¨ grave delle quali potrebbe spalancare le porte ai cracker

Redmond (USA) - Ieri Microsoft ha rilasciato una patch cumulativa per il suo server Web Internet Information Server che, oltre a contenere tutti i fix usciti fino ad oggi per IIS 5 e 5.1 e tutti quelli di IIS 4.0 usciti dopo il rilascio del Service Pack 6a per Windows NT, corregge dieci nuove vulnerabilitÓ. Quattro di queste sono classificate come "critiche", mentre le altre sei sono considerate di moderato o basso rischio.

La pi¨ grave affligge IIS 4.0 e 5.0 e consiste in un buffer overrun presente all'interno del meccanismo di "chunked encoding transfer" delle Active Server Pages. Attraverso questa falla, un aggressore potrebbe fermare il servizio di IIS o, nel caso peggiore, eseguire codice arbitrario sul server. Stessi effetti per una seconda vulnerabilitÓ a questa legata che, in questo caso, affligge anche IIS 5.1.

Un altro buffer overrun nel codice che processa le intestazioni HTTP in IIS 4.0, 5.0 e 5.1, pu˛ consentire ad un cracker di confezionare un URL HTTP ad hoc che mandi in crash IIS.
La saga dei buffer overrun continua con altri due bug: uno che interessa IIS 4.0, 5.0 e 5.1, ed Ŕ contenuto in un controllo di sicurezza del server Web, ed un altro che interessa IIS 4.0 e 5.0, contenuto nelle estensioni HTR ISAPI di IIS. In entrambi i casi un cracker potrebbe mandare in crash il server e, nel secondo caso, Microsoft sostiene possa sussistere la remota possibilitÓ che l'aggressore riesca ad eseguire codice arbitrario sul sistema.

Altre due falle, riguardanti IIS 4.0, 5.0 e 5.1 e contenute nel filtro ISAPI e nel server FTP integrato in IIS, potrebbero essere sfruttate per un attacco di tipo denial of service.

Per finire, la megapatch mette fine ad un trio di vulnerabilitÓ di tipo Cross-Site Scripting (CSS) che affliggono il sistema di Help e alcune pagine di segnalazione di errori o di redirect in IIS 4.0, 5.0 e 5.1. In questo caso, un cracker potrebbe indurre un utente a cliccare un link sul proprio sito Web e, attraverso l'invio di uno script verso un sito IIS di terze parti, farlo recapitare all'utente.

Microsoft sottolinea come molte di queste vulnerabilitÓ vengono del tutto o parzialmente annullate dall'utilizzo di tool di sicurezza come IIS Lockdown e URLScan.

E' possibile trovare informazioni dettagliate e il link per il download della patch nel bollettino di sicurezza MS02-018 pubblicato da Microsoft.

Una curiositÓ: ieri il bollettino di Microsoft che arriva per e-mail Ŕ stato spedito due volte di seguito a causa del fatto che "il messaggio originale aveva alcuni errori di formattazione". Ed in effetti, la prima mail era praticamente illeggibile. Errori cosý banali come una mail formattata male possono dunque essere commessi anche dal primo colosso mondiale del software.
TAG: sicurezza
27 Commenti alla Notizia Fuori la megapatch per Internet Information Server
Ordina
  • Devo stoppare IIS5.0 prima di installare la nuova patch?
    Grazie in anticipo a chiunque mi risponderà! Sorride
    non+autenticato


  • - Scritto da: Marco
    > Devo stoppare IIS5.0 prima di installare la
    > nuova patch?
    > Grazie in anticipo a chiunque mi risponderà!
    > Sorride

    No. Come dicevo in un messaggio piu' in basso ci pensa l'HF a fermare il servizio giusto il tempo di sostituire i file da cambiare.
    non+autenticato
  • Nessun problema per installare una patch, è normale in ogni sistema.
    Ma i fermi macchina per il riavvio chi me li paga?
    non+autenticato
  • - Scritto da: davex
    > Nessun problema per installare una patch, è
    > normale in ogni sistema.
    > Ma i fermi macchina per il riavvio chi me li
    > paga?

    li paghi tu scegliendo un SO che ti costringe a frequenti fermi macchina
    non+autenticato
  • Okey, riscrivimi tutti i cgi win32 che uso e poi cambio os su quella macchina. =)
    Cmq me le vado a cercare le rogne, è vero...
    non+autenticato
  • - Scritto da: davex
    > Okey, riscrivimi tutti i cgi win32 che uso e
    > poi cambio os su quella macchina. =)
    > Cmq me le vado a cercare le rogne, è vero...

    beh... CGI e per di più Win32 (deduco non portabili, quindi in qualche linguaggio compilato)... sì, te le vai proprio a cercare...
    non+autenticato


  • - Scritto da: davex
    > Okey, riscrivimi tutti i cgi win32 che uso

    Ecco: usa il perl e li avrai (quasi) portabili.
    non+autenticato


  • - Scritto da: davex
    > Nessun problema per installare una patch, è
    > normale in ogni sistema.
    > Ma i fermi macchina per il riavvio chi me li
    > paga?

    Il piu' delle volte dopo l'annuncio della patch mi precipito sul sito e bestemmio perche' manca la patch in italiano.

    Maledico anche chi ha installato il server i italiano.
    non+autenticato
  • è colpa sia di chi installa il server in italiano
    ma soprattutto di microsoft che non garantisce localizzazioni adeguate.

    installate in inglese!
    non+autenticato


  • - Scritto da: davex
    > Nessun problema per installare una patch, è
    > normale in ogni sistema.
    > Ma i fermi macchina per il riavvio chi me li
    > paga?


    il cellulare fuori garanzia che a causa di un baco sw non riparte più chi te lo ripaga nessuno.

    il sistemino linux o unix che per istallare na patch (udite udite anche loro necessitano di patch e anche tante) te rimane fermo ben più di 10 minuti del riavvio di un IIS chi te lo ripaga nessuno e allora non lamentiamoci di continuo.
    non+autenticato
  • Ma, ci sei?
    Un server UNIX per rimanere fermo più di 10 minuti, anche considerando quelli di piccola fascia, deve eseguire un servizio importante.
    Ad esempio (nel caso di UNIX closed) l'inserimento nel kernel di un particolare modulo (passaggio da 32 a 64 bit); oppure se ti riferisci al servizio in background deve essere un daemon come Oracle che ha qualche centinaia di Gb di dati.
    Mica basta una semplice patch ad Apache; l'esperto sà bloccare momentaneamente Apache, applicare la patch (dopo averla preparata) e rilanciare il daemon Apache.
    non+autenticato
  • e tu gli dai anche risposta?
    cmq lamento, io non mi stavo lamentando.
    stavo genericamente polemizzando.
    non+autenticato
  • Una patch non "include" delle vulnerabilità, una patch "risolve" delle vulnerabilità.
    La notizia di una patch dovrebbe essere comunque una "buona" notizia, non l'ennesima occasione di spernacchiare la Micro$oft.
    non+autenticato
  • Ciao edc, noi usiamo il termine "megapatch" come sinonimo di patch cumulativa: pensa che qualche tempo fa, parlando con un dirigente di Microsoft, mi sono sentito ripetere questo termine anche da lui! Sorride. Con ciò non vogliamo "spernacchiare" nessuno. Evidentemente non segui PI da molto tempo, perché altrimenti sapresti che noi utilizziamo spesso termini un po' più leggeri e meno formali per riferirci a cose note: "pacco" al posto di service pack; "sparamessaggini" al posto di instant messaging; ecc.
    Un giorno faremo uscire il "PI dizionario" Occhiolino)
    Ciao!

    - Scritto da: edc
    > Una patch non "include" delle vulnerabilità,
    > una patch "risolve" delle vulnerabilità.
    > La notizia di una patch dovrebbe essere
    > comunque una "buona" notizia, non l'ennesima
    > occasione di spernacchiare la Micro$oft.
    non+autenticato
  • mi sembra comunque che l'espressione "include nuove vulnerabilità" sia in ogni caso scorretta.

    non applicherei mai una patch che aggiunge nuove vulnerabilità. IIS ne ha già abbastanza di sue.

    saluti

    /a
    non+autenticato
  • "Una nuova patch cumulativa per IIS 4 e 5 include una decina di nuove vulnerabilità"

    effettivamente anche a me e' parso che il titolo significasse "una nuova patch che risolve dei bug da una parte ma contiene altri 10 bug..."
    non+autenticato
  • Sì chi capisce che c'è stato un errore di scrittura riesce a comprendere il senso dell'articolo altrimenti arriva falsata!
    non+autenticato
  • o forse si tratta di predizione...
    non+autenticato
  • - Scritto da: Alessandro Del Rosso - PI

    > Un giorno faremo uscire il "PI dizionario"

    Nel frattempo cambiate il titolo, che così com'è adesso indica il contrario di quello che vorreste dire.
    Occhio gente, che un sito come il vostro è letto da parecchia gente, e ci vuole un attimo a far circolare una falsa notizia nelle comunità informatiche.
    Correggete quel titolo...
    Ciao
    non+autenticato
  • "Errori così banali come una mail formattata male possono dunque essere commessi anche dal primo colosso mondiale del software."

    ...azzo, che bella riflessione.


    Burp.
    non+autenticato
  • non fa nemmeno + notizia..
    non+autenticato