Buco in FrontPage, server a rischio

Microsoft corregge una grave falla contenuta nelle estensioni di FrontPage, installate di default con IIS, e ha rilasciato versioni aggiornate di Internet Explorer per Mac

Redmond (USA) - Ancora guai per i server Windows. Questa volta la causa è un bug nelle FrontPage Server Extensions (FPSE) 2000/2002 che, secondo Microsoft, può dare l'opportunità ad un aggressore di prendere il controllo del sistema oppure di portare attacchi di tipo denial of service. La falla, classificata come "critical", viene descritta nel bollettino di sicurezza MS02-053, da cui è anche possibile scaricare le patch per Windows NT4, 2000 e XP.

Il problema consiste nella presenza di una vulnerabilità nell'interprete SmartHTML integrato nelle FPSE, un componente che provvede a fornire il supporto per le form Web e altri contenuti dinamici creati con FrontPage. Microsoft spiega che nella versione 2002 delle FPSE un aggressore, attraverso l'invio al server di una richiesta confezionata in un certo modo, potrebbe eseguire codice a sua scelta e prendere così il controllo del sistema. Nel caso delle FPSE 2000 è invece possibile sfruttare la falla per innescare un ciclo infinito che prosciuga tutte le risorse della CPU.

Le FPSE vengono installate di default con Internet Information Server (IIS) 4.0, 5.0 e 5.1. Per prevenire questo tipo di vulnerabilità Microsoft suggerisce agli amministratori di sistema di disinstallare le estensioni di FrontPage quando non necessarie o, in alternativa, di utilizzare l'IIS Lockdown Tool, un piccolo programma che disabilita molte delle funzionalità più pericolose di IIS, fra cui anche l'interprete SmartHTML.
Microsoft ha anche aggiornato Internet Explorer per Mac OS 8.1/9 e Mac OS X rispettivamente alle versioni 5.1.6 e 5.2.2. Questi update correggono alcune vulnerabilità di sicurezza ed altri bachetti, in particolare un problema legato alla validazione dei certificati digitali.

Entrambe le nuove versioni di IE per Mac possono essere scaricate dal sito Mactopia di Microsoft.

A partire dall'inizio dell'anno, periodo in cui Microsoft ha lanciato l'iniziativa per la sicurezza del software nota come Trustworthy Computing, il big di Redmond ha reso pubbliche più di 70 vulnerabilità descritte in 53 advisory.
TAG: microsoft
24 Commenti alla Notizia Buco in FrontPage, server a rischio
Ordina
  • quando contengono bug, li contengono sempre gravi: sempre è possibile accedere a tutto il sistema, non è che quanche volta capita di poter accedere solo come utente normale, o solo di poter spiare qualcosa (come nel caso della famosa falla di mozilla contro cui tutti sti frustrati utenti microsoft si sono scagliati.)

    Questa è la verità. Non ho espresso opinioni, immagino le reazioni, ma sono reazioni ai fatti.
    non+autenticato
  • quando contengono bug, li contengono sempre gravi: sempre è possibile accedere a tutto il sistema, non è che quanche volta capita di poter accedere solo come utente normale, o solo di poter spiare qualcosa (come nel caso della famosa falla di mozilla contro cui tutti sti frustrati utenti microsoft si sono scagliati.)

    Questa è la verità. Non ho espresso opinioni, immagino le reazioni, ma sono reazioni ai fatti.
    non+autenticato
  • allora, ho scaricato il tool IISlockdown di ms, configuro il tool per stoppare le porcate inutili che girano intorno a iis, lancio la configurazione....

    "Unable to stop web server, lockdown failed"Triste(

    e l'unica opzione disponibile a quel punto era: "avanti"... avanti dove che il tool ha fallito?

    non ho parole, fortunatamente la macchina (un win2000 server) non ha incarichi potenzialmente pericolosi...
    non+autenticato
  • be se non sei capace che te devo di, ai letto il readme.txt fornito insieme e le note d'installazione sul sito della MS, no e allora che razzo di sistemista della mutua sei prendi un programma e lo installi sul server di produzione cosi senza leggere un tubo.

    a voglia che i linari ci prendanoper il didietro con winari del menga come te punta click e casini.
    non+autenticato
  • - Scritto da: microtost
    > be se non sei capace che te devo di, ai
    > letto il readme.txt fornito insieme e le

    mh? allora...
    il simpaticissimo tools non riesce a stoppare il servizio "Servizio di Pubblicazione sul Web" perchè c'è in dipendenza "Site Server", ora visto che stoppandolo a mano mi chiede se stoppare anche la dipendenza site server è possibile che la ms non preveda questa eventualità e forzi lo stop di tutti i servizi dipendenti?
    voglio dire, se lancio il tools è perchè voglio iis down, poi se qualcosa va storto va bene... ci sono io che a manina vado a cercare di capire perchè il servizio non si stoppa e, sempre a manina, cerco di stopparlo.
    tutto cio' è un po' strano...
    non+autenticato
  • come post precedente mai installare sul server di produzione tool (anche se MS) senza aver letto la documentazione allegata, tieni conto anche delle problematiche di publicazione da remoto che possono diventare problematiche con questo tool.
    (anche se e sempre preferibile evitare la pubblicazione da remoto sul server di produzione)
    non+autenticato
  • > tutto cio' è un po' strano...

    ma la cosa piu strana e che esistano idioti che anche quando un utente win, che qualcosa magari ci capisce, nota qualcosa di apparentemente strano, vanno ad accusarlo di essere un sistemista razzaro...
    non+autenticato
  • Cito:
    "...
    A partire dall'inizio dell'anno, periodo in cui Microsoft ha lanciato l'iniziativa per la sicurezza del software nota come Trustworthy Computing, il big di Redmond ha reso pubbliche più di 70 vulnerabilità descritte in 53 advisory."

    Certo che questa cosa cozza un pelino con il concetto
    de "I nostri (ma se li assume tutti da ManPower)
    professionisti fanno sicuramente un lavoro migliore
    di quello degli opensorciari" espresso ieri da
    Ballmer.

    Beh, in ogni caso, ne sono felice perchè,
    indipendentemente dai meriti, e credo che l'OS,
    in questo caso, ne abbia parecchi, il mondo
    dell'informatica ha fatto dei passi avanti in
    un anno, in termini di sicurezza, che non sarebbe
    riuscito a fare in 3 anni, normalmente.


    Saluti,
        Ryo Takatsuki
    non+autenticato
  • > Beh, in ogni caso, ne sono felice perchè,
    > indipendentemente dai meriti, e credo che
    > l'OS,
    > in questo caso, ne abbia parecchi, il mondo
    > dell'informatica ha fatto dei passi avanti in
    > un anno, in termini di sicurezza, che non
    > sarebbe
    > riuscito a fare in 3 anni, normalmente.

    gia, ma vallo a far capire a chi scrive nella signature "uccidi un pinguino anche tu..."
    non+autenticato
  • - Scritto da: qweasdzxc

    > gia, ma vallo a far capire a chi scrive
    > nella signature "uccidi un pinguino anche
    > tu..."

    Non spero che possa capirlo... in fondo per lui
    è questione di fede... è come dire a me che il Jazz
    è noioso e che Ghershwin era un pazzo.. può essere
    vero, ma non lo ammetterei nemmeno se me lo dicesse
    il padreterno in persona....

    Quello che mi auguro è che prima o poi gli si
    insinui il dubbio che la concorrenza, seppur
    flebile come quella che il pinguino oppone a M$, serve al mercato.


    Saluti,
        Ryo Takatsuki
    Sig. a tema.

    *** Io c'ho i sorgenti e ci faccio quello che mi pare... tu no***
    non+autenticato
  • Sapreste dirmi dove posso recuperare altre informazioni riguardanti questa vulnerabilità? tnx
    non+autenticato
  • Nella notizia trovi il link al bollettino di sicurezza di MS. Dai che non è difficile... Occhiolino

    - Scritto da: [|_|r|[]5[]
    > Sapreste dirmi dove posso recuperare altre
    > informazioni riguardanti questa
    > vulnerabilità? tnx
    non+autenticato
  • ALTRE info... ne voglio ankora... sò dipendente dall'informazione =P

    - Scritto da: Sciopen
    > Nella notizia trovi il link al bollettino di
    > sicurezza di MS. Dai che non è difficile...
    > Occhiolino
    >
    > - Scritto da: [|_|r|[]5[]
    > > Sapreste dirmi dove posso recuperare altre
    > > informazioni riguardanti questa
    > > vulnerabilità? tnx
    non+autenticato
  • ma quanti problemi per correggere questa vulnerabilita', che tanto iis e' scandoso, disinstallato e butta su apache !
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)