Serwery do handlu elektronicznego Microsoftu nie zapewniają bezpieczeństwa danych

Microsoft zmaga się z błędami dotyczącymi bezpieczeństwa w jego serwerach internetowych Site Server i Internet Information Server (IIS). W wyniku błędów możliwy jest podgląd za pośrednictwem dowolnej przeglądarki plików zawartych w systemie - np. z danymi klientów sklepu internetowego lub plików baz danych.

Microsoft zmaga się z błędami dotyczącymi bezpieczeństwa w jego serwerach internetowych Site Server i Internet Information Server (IIS). W wyniku błędów możliwy jest podgląd za pośrednictwem dowolnej przeglądarki plików zawartych w systemie - np. z danymi klientów sklepu internetowego lub plików baz danych.

Błędy wykryte kilka tygodni temu przez programistów z firmy WebTrends, mają źródło w podstawowej konfiguracji programu, podczas której są instalowane trzy aktywne strony serwera (viewcode.asp, codebrws.asp i showcode.asp) bez właściwej listy ustawień kontroli dostępu. Używając tych stron, osoby niepowołane mogą przeglądać dowolne pliki danego systemu. Problem dotyczy Site Servera w wersjach 3.x oraz IIS w wersjach 4.x, stosowanych w infrastrukturach do obsługi handlu elektronicznego.

"Nie jest dobrze, gdy baza danych do handlu elektronicznego jest zainstalowana na takim systemie. Ktoś, np. haker, może wykorzystać Active Server Pages do zlokalizowania takiej bazy i dotarcia do zawartych w niej informacji. Może również obejrzeć kod źródłowy stron napisanych w HTML" - twierdzi Rob Finaly z WebTrends. Odkryto też, że nieprawidłowości są tak rozległe, iż wykorzystując narzędzie do przeszukiwania Internetu można ustalić, jakie serwery są podobnie skonfigurowane.

Microsoft obecnie prowadzi prace na nowymi wersjami narzędzi, mającymi usunąć te nieprawidłowości. Mają one być dostępne na początku przyszłego tygodnia.