W IIS 6.0 znajduje się groźna, niezałatana do dzisiaj podatność

Opublikowano metodę włamywania się do serwerów WWW, która wykorzystuje nie załataną do dzisiaj podatność znajdującą się w nie wspieranym już dzisiaj, ale ciągle wykorzystywanym, oprogramowaniu Microsoft Internet Information Services 6.0.

Rozszerzone wsparcie dla tej wersji oprogramowania IIS zakończyło się w połowie 2015 roku, czyli w tym samym momencie, w którym Microsoft przestał wspierać oprogramowanie Windows Server 2003. Chociaż od tego czasu minęły już dwa lata, wiele milionów firm na całym wiecie używa dalej oprogramowania ISS 6.0 nie zdając sobie sprawę z tego, że jest ono dziurawe.

Istnieją dowody na to, że hakerzy znają podatność co najmniej od połowy zeszłego roku. Jednak z chwilą, gdy została ona opublikowana na po9czątku tego tygodnia na witrynie GitHub, stała się ona szczególnie niebezpieczna.

Zobacz również:

  • Ważna informacja dla użytkowników oprogramowania .NET 7
  • Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem

Na witrynie GitHub można przeczytać, że podatność "buffer overflow” znajduje się w funkcji ScStoragePathFromUrl, która obsługuje usługę WebDAV, a haker może ją wykorzystać wysyłając do serwera odpowiednio spreparowane żądanie PROPFIND.

Usługa WebDAV (Web Distributed Authoring and Versioning) jest rozszerzeniem standardowego protokołu HTTP). Pozwala ona użytkownikom tworzyć, zmieniać oraz przenosić dokumenty znajdujące się na serwerze WWW.

Ponieważ Microsoft nie wspiera już oprogramowania ISS 6.0, na pewno nie zlikwiduje tej podatności. Administratorzy dbający o bezpieczeństwo systemu IT mają do wyboru dwie możliwości. Mogą więc zrezygnować z oprogramowania ISS 6.0 na rzecz nowszego produktu albo skorzystać z propozycji firmy ACROS Security, która opracowała bezpłatną mikrołatę likwidującą podatność. Ma ona tę zaletę, że można ją zainstalować bez konieczności zatrzymywania i restartowania serwera WWW.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200