Un crack da URL per Microsoft IIS

Dopo la megavoragine annunciata lo scorso primo maggio, Microsoft rilascia una patch che aggiusta una vulnerabilitÓ pi¨ leggera ma facilmente sfruttabile da chiunque per prendere possesso di server IIS 4 e 5

Redmond (USA) - A due settimane dalla scoperta di una delle falle di sicurezza pi¨ gravi che abbiano mai interessato Internet Information Server 5 e Windows 2000, Microsoft rilascia ora una patch che mette fine ad un altro buco che affligge IIS 4 e 5.

La vulnerabilitÓ, che pu˛ essere sfruttata sia sotto Windows NT sia sotto Windows 2000, potrebbe, secondo quanto riportato da Associated Press, "consentire ad un hacker di guadagnare il controllo di un Web server aziendale nel giro di pochi minuti".

Un cracker a conoscenza di questa falla pu˛ infatti lanciare dei file eseguibili attraverso delle direttive illegali che possono venire nascoste all'interno di un URL contenente valori esadecimali di "escape": un codice di questo genere molto comune Ŕ, ad esempio, "%20", che codifica uno spazio bianco. Attraverso un bug presente nel motore di decodifica di IIS, un cracker pu˛ raggiungere, attraverso un URL "illegale", file eseguibili che si trovano in aree del sito Web normalmente non accessibili dal browser.
Il CERT sostiene che anche questa falla, sebbene meno grave di quella precedente, Ŕ molto facile da sfruttare da parte di malintenzionati e dovrebbe dunque essere immediatamente patchata. Alcuni esperti hanno per˛ aggiunto che, per tenersi alla lontana da vulnerabilitÓ di questo genere, basta attenersi a politiche di sicurezza basilari, come quella di non lasciare alla portata dell'account per l'accesso al Web script e programmi che possano essere utilizzati per compromettere il sistema.

Le patch rilasciate da Microsoft sono due: una per IIS4 ed una per IIS 5.
TAG: sicurezza
30 Commenti alla Notizia Un crack da URL per Microsoft IIS
Ordina
  • Microsoft, è un S.O che può andare benissimo se uno dovesse fare lavori di grafica, giochi ecc., ma invece è un sistema operativo che usato nel campo delle grandi reti informatiche, produce solamente danni.

    Grazie
    non+autenticato


  • - Scritto da: Alessandro
    > Microsoft, è un S.O che può andare benissimo
    > se uno dovesse fare lavori di grafica,
    > giochi ecc., ma invece è un sistema
    > operativo che usato nel campo delle grandi
    > reti informatiche, produce solamente danni.
    >
    > Grazie
    >   
    Condivido, anzi rincaro, va abbastanza bene con office ma ho clienti con Nt4 e grafica spinta e ti diro' che fa pena.
    Spero che 2000 sotto stress vada meglio.
    Nelle reti lasciamo perdere...
    P.S. Ho sentito che in 2000 puoi diminuire le performance della grafica per avvantaggiare altri processi.
    Stanno mica facendo ....UNIX ?
    non+autenticato
  • ... e c'è gente che preferisce tapparsi i cinque sensi pur di non ammetterlo
    non+autenticato
  • Considerato che:

    1. MS si quarda bene dal prevenire i buchi, anzi
    2. I buchi li scopre chi ci lavora con IIS
    3. IIS sta al 20% di installato mentre Apache al 62%

    mi chiedo:

    quanto meglio e' fatto Apache rispetto a IIS ?

    Oppure ai buchi di Apache non e' dato il giusto rilievo ? Perche' magari e' gratis ?!?!

    Spero che non sia cosi' perche' chi ha investito centinaia di milioni per batterie SOLARIS e ci mette su -giustamente- Apache (che costa zero si' ma non e' determinante il prezzo perche' ha gia' speso per le sparc/solaris) vorrebbe sapere cosa si e' messo in casa!

    Chi ha la risposta ?
    non+autenticato


  • - Scritto da: fiesta a.
    > Considerato che:
    >
    > 1. MS si quarda bene dal prevenire i buchi,
    > anzi
    > 2. I buchi li scopre chi ci lavora con IIS
    > 3. IIS sta al 20% di installato mentre
    > Apache al 62%
    >
    > mi chiedo:
    >
    > quanto meglio e' fatto Apache rispetto a IIS
    > ?
    Enormemente


    > Oppure ai buchi di Apache non e' dato il
    > giusto rilievo ? Perche' magari e' gratis
    > ?!?!
    Assolutamente no. Di tanto in tanto qualcuno appare, ma molto piu' raramente di IIS (il vero punto debole di W2000)

    > Spero che non sia cosi' perche' chi ha
    > investito centinaia di milioni per batterie
    > SOLARIS e ci mette su -giustamente- Apache
    > (che costa zero si' ma non e' determinante
    > il prezzo perche' ha gia' speso per le
    > sparc/solaris) vorrebbe sapere cosa si e'
    > messo in casa!

    Io ho messo APACHE su un K6 200 sotto linux e funzionava benone. C'e' chi ha messo APACHE sotto un 486. Come vedi non c'e' bisogno di scomodare la SUN.
    C'e' il sito di una nota azienda di consulenza informatica italiana (per la quale ho lavorato qualche mese) che funziona con apache sotto linux.


    > Chi ha la risposta ?

    Non ho tutte le risposte, ma credo di poter affermare che APACHE e' un HTTP server serio e che il fatto che e' gratuito e' solo un valore aggiunto.
    non+autenticato
  • Non ho risposta. Però ti posso dire che IIS non l'ho mai preso in considerazione. Sul mio win2000 server c'è apache.

    - Scritto da: fiesta a.
    > Considerato che:
    >
    > 1. MS si quarda bene dal prevenire i buchi,
    > anzi
    > 2. I buchi li scopre chi ci lavora con IIS
    > 3. IIS sta al 20% di installato mentre
    > Apache al 62%
    >
    > mi chiedo:
    >
    > quanto meglio e' fatto Apache rispetto a IIS
    > ?
    >
    > Oppure ai buchi di Apache non e' dato il
    > giusto rilievo ? Perche' magari e' gratis
    > ?!?!
    >
    > Spero che non sia cosi' perche' chi ha
    > investito centinaia di milioni per batterie
    > SOLARIS e ci mette su -giustamente- Apache
    > (che costa zero si' ma non e' determinante
    > il prezzo perche' ha gia' speso per le
    > sparc/solaris) vorrebbe sapere cosa si e'
    > messo in casa!
    >
    > Chi ha la risposta ?
    non+autenticato

  • > > Spero che non sia cosi' perche' chi ha
    > > investito centinaia di milioni per
    > batterie
    > > SOLARIS e ci mette su -giustamente- Apache
    > > (che costa zero si' ma non e' determinante
    > > il prezzo perche' ha gia' speso per le
    > > sparc/solaris) vorrebbe sapere cosa si e'
    > > messo in casa!
    > >
    > > Chi ha la risposta ?

    Scompatta Apache, vai a leggerti i sorgenti e scoprirai cosa hai installato e "cosa succede" sulla tua super-batteria di SUN.... Sorride)

    Mi sai dire con la stessa sicurezza cosa fa IIS ???

    Bye.....
    non+autenticato
  • Perchè PI deve sempre schierarsi solo da una parte?
    Girando nei vari siti di sw Open Source si nota che anche essi sono pieni ne' più ne' meno di bachi come la ms...ed allora perchè su PI si vedono solo quelli della MS?

    E' un po' come i giornali...chi sta a sinistra e chi a destra.

    ...ma non è, secondo me, una questione di "partito" ma solo una questione di "moda": infatti in questo periodo è di "moda" l'open source...e per fare "click" sul sito si fa di tutto no?

    Caro PI...mi hai deluso..e MOLTO!

    (ps..non so perche' ma il messaggio di prima mandava in server error 500..Triste )
    non+autenticato
  • Mi sembra una notizia utile, proprio al servizio degli utenti microsoft.
    Secondo me te sei frustrato.
    Da un po di tempo gli utenti microsoft non appena esce una notizia sul loro sistema operativo vanno in escandescenza..
    non fate cosi...
    nessuno vi vuole fare del male...


    - Scritto da: rubo2000
    > Perchè PI deve sempre schierarsi solo da una
    > parte?
    > Girando nei vari siti di sw Open Source si
    > nota che anche essi sono pieni ne' più ne'
    > meno di bachi come la ms...ed allora perchè
    > su PI si vedono solo quelli della MS?
    >
    > E' un po' come i giornali...chi sta a
    > sinistra e chi a destra.
    >
    > ...ma non è, secondo me, una questione di
    > "partito" ma solo una questione di "moda":
    > infatti in questo periodo è di "moda" l'open
    > source...e per fare "click" sul sito si fa
    > di tutto no?
    >
    > Caro PI...mi hai deluso..e MOLTO!
    >
    > (ps..non so perche' ma il messaggio di prima
    > mandava in server error 500..Triste )
    non+autenticato
  • ma hai la minima idea di quanto costi windows 2000? e di quanti lo usano? e di quale slogan usi m$ per promuverlo?
    ma 'ndo vivi?
    non+autenticato
  • - Scritto da: rubo2000
    > Perchè PI deve sempre schierarsi solo da una
    > parte?
    > Girando nei vari siti di sw Open Source si
    > nota che anche essi sono pieni ne' più ne'
    > meno di bachi come la ms...ed allora perchè
    > su PI si vedono solo quelli della MS?

    mah... forse perche' oggettivamente apache e' fatto meglio?
    non+autenticato


  • - Scritto da: munehiro
    > - Scritto da: rubo2000
    > > Perchè PI deve sempre schierarsi solo da
    > una
    > > parte?
    > > Girando nei vari siti di sw Open Source si
    > > nota che anche essi sono pieni ne' più ne'
    > > meno di bachi come la ms...ed allora
    > perchè
    > > su PI si vedono solo quelli della MS?
    >
    > mah... forse perche' oggettivamente apache
    > e' fatto meglio?

    O forse perché quando spunta fuori una vulnerabilità in un software Opensource è accompagnata dalla versione corretta del sw, che al massimo esce poche ore dopo?
    Forse perché una vulnerabilità in ms viene patchata a distanza di tempo e in questo frangente chiunque può sfruttarla?
    Inoltre considera le quote di mercato di ms e considera che gravi vulnerabilità di bind hanno avuto lo stesso spazio su PI (bind gestisce i DNS, lo usi tutte le volte che ti connetti ad un sito).
    E comunque non sentirai mai tanti bachi (e così seri!) parlando di Apache, Qmail ecc...
    O forse sei in grado di vincere il premio da 1000$ che c'è per chi trova una vulnerabilità in Qmail?
    Finora l'ha riscosso una sola persona...
    non+autenticato
  • - Scritto da: rubo2000
    >
    > Caro PI...mi hai deluso..e MOLTO!

    Ahahah, certo che di senso dell'umorismo ne hai davvero tanto!! Ma ti sei guardato in giro? Sorride Se non ci fosse PI sarei ancora a leggere i redazionali strapagati delle riviste cartacee Sorride

    > (ps..non so perche' ma il messaggio di prima
    > mandava in server error 500..Triste )

    Forse perché usano quei prodotti Microsoft che tu difendi cosi' tanto? Occhiolino Ti dai pure la zappa sui piedi... Sorride))
    non+autenticato


  • - Scritto da: Felix
    > - Scritto da: rubo2000
    > >
    > > Caro PI...mi hai deluso..e MOLTO!
    >
    > Ahahah, certo che di senso dell'umorismo ne
    > hai davvero tanto!! Ma ti sei guardato in
    > giro? Sorride Se non ci fosse PI sarei ancora a
    > leggere i redazionali strapagati delle
    > riviste cartacee Sorride

    Quali ?

    Quelli per i quali internet = pedofilia + pirateria + virus + craker + hacker + narcotraffico + ... ?
    non+autenticato
  • > Perchè PI deve sempre schierarsi solo da una
    > parte?
    > Girando nei vari siti di sw Open Source si
    > nota che anche essi sono pieni ne' più ne'
    > meno di bachi come la ms...ed allora perchè
    > su PI si vedono solo quelli della MS?

    Non so cosa vedi tu, ma a me non risulta. Server apache compilati due anni fa lavorano ancora senza alcun problema, o comunque con problemi 'minori' che escono fuori solo in installazioni molto particolari (leggasi 'installazioni', non casi particolari, significa che il server presenta il problema solo se configurato in certi modi, non che presenta problemi difficili da sfruttare, ma sfruttabili). Al contrario invece IIS solo in questo anno ha presentato vari problemi che hanno costretto a fare gli upgrade a tutti i server in circolazione, e detto fra noi sospetto che una larga fascia di sistemi sia ancora strabucata.

    Hai mai provato a leggere un bollettino MS? Sembra scritto per degli incompetenti, non per degli amministratori di sistema. Se chi gestisce un server deve sentirsi dire ogni volta che oltre ad applicare questa patch deve accertarsi di avere applicato anche tutte le precedenti, siamo gravi. A questo punto, se il livello del personale interessato deve essere così basso, forse è il caso che lo scrivano anche sui muri che è ora di applicare una nuova patch. Comunque il numero di 'amministratori trovati nelle patatine' che non li applicherà sarà monumentale.

    Potrà non sembrare, ma io sono daccordissimo con l'adozione di NT, W2k e compagnia cantante da parte DEGLI ALTRI: se io riesco a mettere su un server web con il solo hardware, una giornata di lavoro e neanche una lira spesa in licenze, perché la concorrenza non deve spendere molto di più, per un hardware più grande e per le licenze necessarie? Non sarò certo io a dirgli che in un altro modo otterrebbe le stesse cose con un costo molto inferiore.

    Per questo, alla fin fine da fastidio anche a me vedere che PI scredita in modo così subdolo quei poveri piccoli COSTOSI prodotti, è un vero scandalo, mi piange il cuore a pensare a quanti concorrenti potrebbero essere convinti a provare a essere più competitivi e ad avere meno grattacapi se solo avessero il coraggio di prendere un tecnico esperto in sistemi Unix invece di ascoltare i soliti rappresentanti che spingono per soluzioni MS.

    > (ps..non so perche' ma il messaggio di
    > prima mandava in server error 500..Triste )

    Forse te lo hanno già detto, ma PI gira su un server a tecnologia NT. Non è neanche da escludere che il loro amministratore non lo abbiano trovato nelle patatine, anzi consideri suo preciso dovere informarsi su tutte le patch che vanno applicate, e questo consenta loro di segnalare tutti i problemi in questo campo. Va da se che a questo punto segnalare pubblicamente che c'è una patch da fare vada a vantaggio di chi deve applicarle (che magari ci ripensa) e in confronto a questo la possibilità che questo vada a discredito dei prodotti MS è un particolare trascurabile.
    non+autenticato
  • Quasi perfettamente funzionante.
    Poi, con un decimo dei soldi ricavati dalla vendita,
    vado in edicola e mi compro la più stupida rivista che abbia un CD di Linux in omaggio.
    Così risolvo i buchi e con i soldi che avanzo vado a mangiarmi una pizza con la mia ragazza.

    Ciao, ci vediamo in pizzeria.
    non+autenticato
  • "Perfettamente" e' una parola grossa ....

    E poi scusami, ma chi vuoi che te lo compri Windows ?

    non+autenticato


  • - Scritto da: TeX
    > "Perfettamente" e' una parola grossa ....
    >
    > E poi scusami, ma chi vuoi che te lo compri
    > Windows ?

    se proprio non trovi nessuno prova così:
    "vendo cd da appendere al parabrezza per evitare l'autovelox"

    roftl!

    ciao

    non+autenticato
  • Non farle mettere i tacchi, altrimenti la tua pinguina si ribalta.

    - Scritto da: Massimo
    > Quasi perfettamente funzionante.
    > Poi, con un decimo dei soldi ricavati dalla
    > vendita,
    > vado in edicola e mi compro la più stupida
    > rivista che abbia un CD di Linux in omaggio.
    > Così risolvo i buchi e con i soldi che
    > avanzo vado a mangiarmi una pizza con la mia
    > ragazza.
    >
    > Ciao, ci vediamo in pizzeria.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)