IIS, un baco che tocca sei milioni di server

Microsoft ha già approntato la patch di un problema di sicurezza che reputa decisamente grave. E sollecita tutti i clienti che utilizzano per il web l'Internet Information Server a tappare subito la falla. Ecco i dettagli

IIS, un baco che tocca sei milioni di serverRedmond (USA) - Dopo le due gravi vulnerabilità venute alla luce lo scorso mese, Internet Information Server finisce nuovamente sotto i riflettori per un seria falla di sicurezza che affligge le estensioni ISAPI associate al servizio di indicizzazione Index Server 2.0 e Indexing Service.

Come afferma eEye Digital Security, la società che per prima ha scoperto il problema, "un assalitore che sfrutti la vulnerabilità può, da una locazione remota, guadagnare il pieno controllo di ogni sistema sui cui giri un'installazione di default di Windows NT, Windows 2000 o Windows XP, in abbinamento al Web server IIS."

Secondo il bollettino di sicurezza pubblicato da Microsoft, la vulnerabilità consiste nella presenza di un buffer overrun nel file "idq.dll" e dà modo ad un cracker di "compiere qualsiasi azione voluta sul server, incluso la modifica delle pagine Web, la riformattazione dell'hard disk o l'aggiunta di nuovi utenti al gruppo degli amministratori locali".
La gravità del baco è evidente, se si pensa che i sistemi vulnerabili al problema potrebbero essere quasi 6 milioni, circa il 21% del Web (secondo i dati di maggio forniti da Netcraft).

Microsoft è la prima a rendere chiaro ai propri clienti che non è il caso di prendere sottogamba questo problema e ha già pronta una patch: "Chiaramente, questa è una seria vulnerabilità, e Microsoft esorta tutti i clienti a prendere azioni immediate. Microsoft sollecita con forza tutti gli amministratori di Web server ad applicare la patch immediatamente".

Microsoft sembra soprattutto preoccupata dalla velocità con cui gli hacker potrebbero rilasciare in Rete un crack che sfrutti il buco di IIS: in genere questi tool vengono "confezionati" nel giro di 48 ore dall'annuncio del problema di sicurezza.

Sul sito di Microsoft sono disponibili le patch per Windows NT 4 e Windows 2000.
TAG: microsoft
241 Commenti alla Notizia IIS, un baco che tocca sei milioni di server
Ordina


  • - Scritto da: rakeEm
    > http://www.antionline.com/2001/06/22/eng-vnun

    Topolino dice che non e' vero... peccato che nessuno potra' controllare visto che su quegli indirizzi non e' montato nessun webserver.
    non+autenticato
  • Ma chi di voi consegna al cliente insieme ai compilati anche il codice sorgente?

    ...
    ...

    Ehi linuxiani dove siete? Ohi? Uuuh? Perchè non fate vedere il vostro codice al cliente... Chissa perchè sono poche le aziende nel mondo che adottano questo sistema...
    non+autenticato


  • - Scritto da: JP
    > Ma chi di voi consegna al cliente insieme ai
    > compilati anche il codice sorgente?
    >

    #define _MENUBAR_FILE_OPEN_ 1
    #define _MENUBAR_FILE_QUIT_ 2
    #define _MENUBAR_FILE_NEW_ 3

    #define _MENUBAR_FILE_NEW_SW_ 21
    #define _MENUBAR_FILE_NEW_SWB_ 22

    #define _MENUBAR_VIEW_REPORT_ 11
    #define _MENUBAR_VIEW_SAVE_CONFIG_ 12

    void MainWindow::createMenuBar() {
            KMenuBar *menubar= menuBar();

            filemenu=new KPopupMenu(this);
    //     filemenu->insertItem(i18n("&Open..."),this, SLOT(Open()), 0, _FILE_OPEN_);
            file_newmenu= new KPopupMenu(this);
            file_newmenu->insertItem("Square well", this, SLOT(slotCreateProjectSquareWell()), 0,_MENUBAR_FILE_NEW_SW_);
            file_newmenu->insertItem("Square well with barrier",0,_MENUBAR_FILE_NEW_SWB_);
            filemenu->insertItem("New",file_newmenu,0,_MENUBAR_FILE_NEW_);


            filemenu->insertItem("&Open...");
            filemenu->insertSeparator();
            filemenu->insertItem("&Quit",this,SLOT(slotQuitApp()));
            menubar->insertItem("&File",filemenu);

            viewmenu=new KPopupMenu(this);
            viewmenu->insertItem("&Save Configuration",this, SLOT(slotSaveConfig()), 0, _MENUBAR_VIEW_SAVE_CONFIG_);
            menubar->insertItem("&View",viewmenu);

    }


    un pezzettino del sorgente di un lavoro che sto facendo (attualmente solo in preview). Devo ancora abilitare il cvs anonimo e lo snapshotter da cvs. Se vuoi te lo mando, pero' a condizione che mi dai una mano (e' sotto GPL modificata)

    > Ehi linuxiani dove siete? Ohi? Uuuh? Perchè
    > non fate vedere il vostro codice al
    > cliente...

    mi pare che zap ne abbia documentate piu' di un centinaio. btw... Chi lavora in php, in html, in asp, in perl, il sorgente al cliente glielo fa vedere.

    > Chissa perchè sono poche le
    > aziende nel mondo che adottano questo
    > sistema...

    uhm... nessuna azienda alimentare o automobilistica, ad esempio, si sognerebbero di impedire a terzi di controllare la bonta' del prodotto. Nel caso del software invece no... chissa' mai perche' questa stranezza.. e poi guardali.. sono li' che dicono su all'opensource e poi attingono a piene mani da freebsd. Non diciamo cazzate per favore.
    non+autenticato
  • Hey ancora sveglio?Sorride

    sto pezzo di sorgente e' troppo poco, stai facendo i menu' ancora! Facci vedere qualche algoritmo interessante.

    Buon Lavoro!

    - Scritto da: munehiro
    >
    >
    > - Scritto da: JP
    > > Ma chi di voi consegna al cliente insieme
    > ai
    > > compilati anche il codice sorgente?
    > >
    >
    > #define _MENUBAR_FILE_OPEN_ 1
    > #define _MENUBAR_FILE_QUIT_ 2
    > #define _MENUBAR_FILE_NEW_ 3
    >   
    > #define _MENUBAR_FILE_NEW_SW_ 21
    > #define _MENUBAR_FILE_NEW_SWB_ 22
    >   
    > #define _MENUBAR_VIEW_REPORT_ 11
    > #define _MENUBAR_VIEW_SAVE_CONFIG_ 12
    >   
    > void MainWindow::createMenuBar() {
    >         KMenuBar *menubar= menuBar();
    >   
    >         filemenu=new KPopupMenu(this);
    > //    
    > filemenu->insertItem(i18n("&Open..."),this,
    > SLOT(Open()), 0, _FILE_OPEN_);
    >         file_newmenu= new KPopupMenu(this);
    >         file_newmenu->insertItem("Square
    > well", this,
    > SLOT(slotCreateProjectSquareWell()),
    > 0,_MENUBAR_FILE_NEW_SW_);
    >         file_newmenu->insertItem("Square
    > well with
    > barrier",0,_MENUBAR_FILE_NEW_SWB_);
    >        
    > filemenu->insertItem("New",file_newmenu,0,_ME
    >   
    >   
    >         filemenu->insertItem("&Open...");
    >         filemenu->insertSeparator();
    >        
    > filemenu->insertItem("&Quit",this,SLOT(slotQu
    >        
    > menubar->insertItem("&File",filemenu);
    >   
    >         viewmenu=new KPopupMenu(this);
    >         viewmenu->insertItem("&Save
    > Configuration",this, SLOT(slotSaveConfig()),
    > 0, _MENUBAR_VIEW_SAVE_CONFIG_);
    >        
    > menubar->insertItem("&View",viewmenu);
    >   
    > }
    non+autenticato


  • - Scritto da: aLeX
    > Hey ancora sveglio?Sorride
    >
    > sto pezzo di sorgente e' troppo poco, stai
    > facendo i menu' ancora! Facci vedere qualche
    > algoritmo interessante.
    >
    > Buon Lavoro!

    veh.. ciapa


    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1


    bool DialogBase::calculateEigenvalues() {

        // NOTE : this function mix up malloc/free with new/delete
        // i was forced to do this, since the pure C++ solution cause
        // problems with high points value (10000 and more).
        // Using malloc does not cause crashes.

        g_mainwindow->statusMessage("Calculating Eigenvalues / eigenvectors");

        unsigned int i,j;
        bool ret;

    // for function dstevx

        char jobz='V'; // computes eigenvalues and eigenvectors
        char rng='I'; // only in a certain range
        int one = 1;
        double abstol = 1.e-8;
        double delta = potential->delta;

        unsigned int points = potential->points;
        double *Hdiag = (double *)malloc(points*sizeof(double));
        double *Hoffdiag = (double *)malloc(points*sizeof(double));


    // output parameters
        int neige; // number of eigenvalues found
        double *eigenvalues= (double *)malloc(points*sizeof(double)); // the eigenvalues
        double *eigenvectors = (double *)malloc(sizeof(double)*eigenNumber*points);
        int *ifail = (int *)malloc(sizeof(int)*points);
        int info;

    // workspace parameters

        double *work = (double *)malloc(sizeof(double)*points*5);
        int *iwork = (int *)malloc(sizeof(int)*points*5);

    // dimension Hdiag (id1), Hoffdiag(id1)

        double temp1=-1./(2.*particleMass*delta*delta);
        double temp2=1./(particleMass*delta*delta);
        for (i=0; i<points; i++) {
            Hoffdiag[i]=temp1;
            Hdiag[i]=temp2+potential->y[i];
        }


        dstevx_(&jobz,&rng,&(int)points,Hdiag,Hoffdiag,NULL,NULL,
                &one,&(int)eigenNumber,&abstol,&neige,eigenvalues,
                eigenvectors,&(int)points,work,iwork,ifail,&info);

        if (!info) {

            eigenList.setAutoDelete(true);
            eigenList.clear();
            QString str;

            for (i=0; i<neige; i++) {
                Eigenvalue *e= new Eigenvalue(potential->lowerValue, potential->higherValue, points);
                e->eigenvalue=eigenvalues[i];
                str.sprintf("eigenvalue %d : %g",i,eigenvalues[i]);
                writeReport(str);
                    for (j=0; j<points; j++) {
                    e->y[j]=(*(eigenvectors+i*points+j));
                }
                eigenList.append(e);
            }
            ret=true;
        } else {
            ret = false;
        }

        // free ram
        //
        free(Hdiag);
        free(Hoffdiag);
        free(eigenvalues);
        free(eigenvectors);
        free(ifail);
        free(work);
        free(iwork);

        return ret;

    }


    This code released under the terms of the General Public License
    copyright munehiro (munehiro@iname.com) 2001

    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (GNU/Linux)
    Comment: Per informazioni si veda http://www.gnupg.org

    iEYEARECAAYFAjsxSdEACgkQhagnHfz+NdT7mwCg7sTzJiZyUkjs0hufeA/iHLbJ
    NXEAoIWIWaLpHbsgOMw2G8/q+3/7d0ZQ
    =kJRy
    -----END PGP SIGNATURE-----
    non+autenticato

  • - Scritto da: munehiro

    > > Facci vedere qualche
    > > algoritmo interessante.
    > >
    > veh.. ciapa
    >
    >
    > bool DialogBase::calculateEigenvalues() {

    Fa un pò pena vedere qualcuno che si calcola ancora gli eigen matriciali a mano. Cos'è, l'opensource non frutta abbastanza soldi per comprarsi una libreria numerica decente ?

    Fai un salto su
    http://www.nag.co.uk/
    http://www.techsoftpl.com/matrix/index.htm
    che fai molto prima e non pianti il sistema dopo appena 10.000 elementi...
    P.S. sai, pagando ti danno perfino i SORGENTI...
    non+autenticato


  • - Scritto da: Pota-pota
    > Fa un pò pena vedere qualcuno che si calcola
    > ancora gli eigen matriciali a mano. Cos'è,
    > l'opensource non frutta abbastanza soldi per
    > comprarsi una libreria numerica decente ?

    blas e lapack. Sono scritte in fortran ma le chiamo da C++


    >
    > Fai un salto su
    > http://www.nag.co.uk/
    > http://www.techsoftpl.com/matrix/index.htm
    > che fai molto prima e non pianti il sistema
    > dopo appena 10.000 elementi...

    infatti adesso arrivo anche a 1.000.000. Piu' in su non vado causa ram.
    non+autenticato
  • > -----END PGP SIGNATURE-----

    Quindi vuol dire che se io scrivo del codice per calcolare gli autovalori devo per forza rilasciare tutto sotto GPL se per caso somiglia al tuo?
    non+autenticato
  • - Scritto da: munehiro

    > bool DialogBase::calculateEigenvalues() {
    >
    >     // NOTE : this function mix up
    > malloc/free with new/delete
    >     // i was forced to do this, since the
    > pure C++ solution cause
    >     // problems with high points value
    > (10000 and more).
    >     // Using malloc does not cause crashes.

    Interessssaaaaaante....

    Sotto che sistemi operativi l'hai provato ?

    Ti serve anche gestire liste e alberi con i dati ? Mi son trovato bene con le Standard Template Lib, ma non vanno sotto win.

    (Ecco un inizio di discussione interessante grazie a un po' di condice free).
    non+autenticato


  • - Scritto da: GrayLord
    > - Scritto da: munehiro
    >   
    > > bool DialogBase::calculateEigenvalues() {
    > >
    > >     // NOTE : this function mix up
    > > malloc/free with new/delete
    > >     // i was forced to do this, since the
    > > pure C++ solution cause
    > >     // problems with high points value
    > > (10000 and more).
    > >     // Using malloc does not cause
    > crashes.
    >    
    > Interessssaaaaaante....
    >
    > Sotto che sistemi operativi l'hai provato ?

    linux only. E non ho di certo intenzione di fare dei porting, almeno finche' qualcun altro si degnera' di fare i porting di altri prog per linux.

    > Ti serve anche gestire liste e alberi con i
    > dati ? Mi son trovato bene con le Standard
    > Template Lib, ma non vanno sotto win.

    mi appoggio integralmente alle qt, piu' alcuni pezzi di kdelib per alcune classi che non ho voglia di reimplementarmi da zero. Una classe l'ho presa e appiccicata pari pari da kvirc (un client di chat) ma adesso penso di toglierla perche' ho risolto il problema con una semplice ListBox.

    > (Ecco un inizio di discussione interessante
    > grazie a un po' di condice free).

    ma a loro non gliene frega un ca22o... a loro interessano solo i dindi... e non si rendono conto che quando un cliente compera un prodotto software, dovrebbe esigere il sorgente, visto che e' quello il lavoro che ha commissionato (scrivere codice).
    non+autenticato


  • - Scritto da: munehiro
    >
    >
    > - Scritto da: GrayLord
    > > - Scritto da: munehiro
    > >   
    > > > bool
    > DialogBase::calculateEigenvalues() {
    > > >
    > > >     // NOTE : this function mix up
    > > > malloc/free with new/delete
    > > >     // i was forced to do this, since
    > the
    > > > pure C++ solution cause
    > > >     // problems with high points value
    > > > (10000 and more).
    > > >     // Using malloc does not cause
    > > crashes.
    > >    
    > > Interessssaaaaaante....
    > >
    > > Sotto che sistemi operativi l'hai provato
    > ?
    >
    > linux only. E non ho di certo intenzione di
    > fare dei porting, almeno finche' qualcun
    > altro si degnera' di fare i porting di altri
    > prog per linux.
    >
    > > Ti serve anche gestire liste e alberi con
    > i
    > > dati ? Mi son trovato bene con le Standard
    > > Template Lib, ma non vanno sotto win.
    >
    > mi appoggio integralmente alle qt, piu'
    > alcuni pezzi di kdelib per alcune classi che
    > non ho voglia di reimplementarmi da zero.
    > Una classe l'ho presa e appiccicata pari
    > pari da kvirc (un client di chat) ma adesso
    > penso di toglierla perche' ho risolto il
    > problema con una semplice ListBox.
    >
    > > (Ecco un inizio di discussione
    > interessante
    > > grazie a un po' di condice free).
    >
    > ma a loro non gliene frega un ca22o... a
    > loro interessano solo i dindi... e non si
    > rendono conto che quando un cliente compera
    > un prodotto software, dovrebbe esigere il
    > sorgente, visto che e' quello il lavoro che
    > ha commissionato (scrivere codice).

    Ti sbagli!! Il cliente vuole un applicativo e tu glielo dai.
    A lui del codice sorgente non server per far funzionare l'applicativo.
    E' come se la Coca Cola dopo aver inventato la Coca Cola rilascia a tutti quelli che la comprano la formula per farsela!!
    Comunque per chi prima diceva che con ASP si deve dare il codice nonè proprio vero perchè un programmatore ASP serio non fa tutto nelle pagine ASP ma crea delle DLL che a cui al cliente non da il codice sorgente.
    Bye
    non+autenticato
  • >This code released under the terms of the >General Public License
    >copyright munehiro (munehiro@iname.com) 2001


    AHAhaahaha !!   A Ridicolo!! E Pupazzo...!!!

    Pezzente e purciaro!!!

    Michele Coppo
    non+autenticato
  • Ho una testimonianza dal vivo, ho avuto a che fare con due zombie mind, un raro tipo di programma dotato di semi-intelligenza il loro nome è:

    Masks e Ciao


    A parte gli scherzi (vedi ed. Punto Pignolo) non avevo ben compreso il termine PRETORIANO finchè non ho letto quello che scrivono quei due.

    Vabbè... ribadisco creaimo un fondo prima che si estinguano!

    Endangered Species: 1) Windows supporters
    non+autenticato


  • > Ho una testimonianza dal vivo, ho avuto a
    > che fare con due zombie mind, un raro tipo
    > di programma dotato di semi-intelligenza il
    > loro nome è:

    Ci si chiede come hai fatto a riconoscerli...

    > A parte gli scherzi (vedi ed. Punto Pignolo)
    > non avevo ben compreso il termine PRETORIANO
    > finchè non ho letto quello che scrivono quei
    > due.

    Gia' ... mi fa piacere aver illuminato la tua esistenza .Basta la mia sola presenza anche lontana per portare nei vostri piccoli cervellini un po' di conoscenza. Vediamo quanta roba riesco a farvi entrare in testa.



    non+autenticato


  • - Scritto da: Ciao
    >
    >
    > > Ho una testimonianza dal vivo, ho avuto a
    > > che fare con due zombie mind, un raro tipo
    > > di programma dotato di semi-intelligenza
    > il
    > > loro nome è:
    >
    > Ci si chiede come hai fatto a riconoscerli...
    >
    > > A parte gli scherzi (vedi ed. Punto
    > Pignolo)
    > > non avevo ben compreso il termine
    > PRETORIANO
    > > finchè non ho letto quello che scrivono
    > quei
    > > due.
    >
    > Gia' ... mi fa piacere aver illuminato la
    > tua esistenza .Basta la mia sola presenza
    > anche lontana per portare nei vostri piccoli
    > cervellini un po' di conoscenza. Vediamo
    > quanta roba riesco a farvi entrare in testa.

    l'unico modo x illuminarci è che tu una benedetta volta installi seriamente linux
    non+autenticato
  • > l'unico modo x illuminarci è che tu una
    > benedetta volta installi seriamente linux

    E per illuminare voi dovrei dannarmi io? No grazie ... lascio fare a penguin warrior.
    non+autenticato
  • - Scritto da: Chernobyl
    >
    > l'unico modo x illuminarci è che tu una
    > benedetta volta installi seriamente linux

    Forse ha piu' speranze come candelabroSorride
    non+autenticato
  • beh questa e' veramente vecchiotta...


    Satan greets him: "Welcome Mr. Gates, we've been waiting for you. This will be your home for all eternity. You've been selfish, greedy and a big liar all your life. Now, since you've got me in a good mood, I'll be generous and give you a choice of three places in which you'll be locked up forever".

    Satan takes Bill to a huge lake of fire in which millions of poor souls are tormented and tortured; he then takes him to a massive coliseum where thousands of people are chased about and devoured by starving lions; Finally, he takes Bill to a tiny room in which there is a beautiful young blonde with an alluring look on her face, sitting at a table on which there is a bottle of the finest wine.

    To Bill's delight, he sees a PC in the corner. Without hesitation, Bill says "I'll take this option." "Fine," says Satan, allows Bill to enter the room, and locks the room after Bill.

    As he turns around, he bumps into Lucifer.

    "That was Bill Gates!" cries Lucifer. "Why did you give him the best place of all!?" "That's what everyone thinks" snickers Satan. "The bottle has a hole in it, and the girl hasn't!"

    "What about the PC?" "It's got Windows 2000!" laughs Satan, "and it's missing three keys."

    "Which three?" "Control, Alt and Delete."
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 24 discussioni)