Zła passa serwerów webowych

Ponad połowa serwerów webowych pracujących w Internecie, potencjalnie nieszczelnych, to ośrodki, gdzie pracuje IIS (Internet Information System) Microsoftu i oprogramowanie serwera webowego formuły open source Apache - tak wynika z badań firmy Netcraft przeprowadzonych na początku lipca br.

Ostatnie doniesienia o poważnych nieszczelnościach dwóch najpopularniejszych serwerów webowych, stwarzają wrażenie największego zagrożenia Weba w całej historii sieci.

Ponad połowa serwerów webowych pracujących w Internecie, potencjalnie nieszczelnych, a kondycję których można określić jako "dojrzałe do ataków", to ośrodki, gdzie pracuje IIS (Internet Information System) Microsoftu i oprogramowanie serwera webowego formuły open source Apache - tak wynika z badań firmy Netcraft przeprowadzonych na początku lipca br.

Zobacz również:

  • AI ma duży apetyt na prąd. Google znalazł na to sposób

Microsoft zwiększył na początku lipca stopień zagrożenia w IIS wersji 4.0 i 5.0 - komponentu tworzącego serwer webowy w Windows NT 4.0 i 2000 - do poziomu "krytyczny". Producent twierdzi, że usterka w IIS tkwi w oprogramowaniu obsługującym skrypty HTR, starszego języka skryptowego (i w dużym stopniu już przestarzałego). Jednakże Netcraft odkryła że około połowa ośrodków webowych używających IIS ma włączony scripting HTR.

Usterka w IIS i Apache związaną jest ze sposobem, w jaki te serwery webowe wykonują analizę składniową odbieranych danych i może powodować błędną interpretację rozmiaru przychodzących porcji danych. Atakujący może uzyskać całkowitą kontrolę nad nieszczelnym systemem, wysyłając specjalnie spreparowane zlecenie do serwera wbowego.

Usterkę Apache, pracującego na platformie FreeBSD, wykorzystuje robak o nazwie Scalper, który pojawił się w Internecie.

Według firmy Netcraft Apache jest najpopularniejszym serwerem webowym, pracującym w 64 proc. ośrodków webowych (dane za czerwiec br.). IIS Microsoftu pracuje w blisko 25 proc. ośrodków webowych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200