10 błędów naraz
- Michał Szafrański,
- 22.04.2002
Microsoft poprawia kolejne krytyczne błędy serwera IIS.
Microsoft poprawia kolejne krytyczne błędy serwera IIS.
Łatwy w obsłudze interfejs to podstawowa zaleta analizatora bezpieczeństwa Microsoftu
Błąd na błędzie
Trzy spośród 10 udostępnionych poprawek mają status "krytycznych" dla wszystkich wersji IIS. Jedna dodatkowa poprawka określana jest jako krytyczna dla IIS 4.0 i 5.0. Pozostałe mają status średniego bądź niskiego zagrożenia.
Nowe błędy wykryto w wielu modułach ser- wera IIS. Najważniejsze dotyczą sposobu, w jaki moduł Active Server Pages (ASP.DLL) obsługuje zapytania użytkowników. Mimo kilkakrotnego udostępniania do niego poprawek, ponownie okazało się, że odpowiednio spreparowane zapytanie HTTP umożliwia przesłanie do serwera dowolnego kodu i jego lokalne uruchomienie, co daje włamywaczowi pełną kontrolę nad atakowanym komputerem. Kolejne błędy dotyczą działania filtrów ISAPI (szczególnie rozszerzenia HTR ISAPI wykorzystywanego przez serwer indeksujący), wbudowanego w IIS serwera FTP oraz mechanizmu CSS (Cross- Site Scripting), stosowanego do przekazywania poleceń i skryptów między kilkoma serwerami WWW a użytkownikiem przeglądarki.
Zainstalowanie poprawki może spowodować dodatkowy problem. Jak zapewniają specjaliści z firmy SecurityFocus, powoduje ona zablokowanie niektórych funkcji pakietu SiteServer, stosowanego m.in. do identyfikacji użytkowników i zautomatyzowanego tworzenia personalizowanych serwisów WWW. Microsoft na razie nie potwierdził istnie- nia tego problemu.
Zmiana nastawienia
Z kolei eEye Digital Security, jedna z firm wymienianych przez Microsoft jako źródło informacji o krytycznych błędach IIS, zauważa, że dwa spośród nowych błędów zostały wykryte przez pracowników Microsoftu. Jest to pierwszy praktyczny efekt działań podjętych przez Billa Gatesa, mających na celu skoncentrowanie uwagi pracowników firmy na bezpieczeńs- twie opracowywanych przez nich produktów. Kolejnym jest sposób rozprzestrzeniania informacji o udostępnieniu poprawki. Oprócz rozesłania jej do 300 tys. subskrybentów listy mailingowej, dotyczącej bezpieczeństwa, firma zapewnia, że wyznaczeni jej pracownicy osobiście kontaktują się z najważniejszymi klientami oraz wszystkimi osobami, które w ostatnich miesiącach korzystały ze wsparcia technicznego, zadając pytania dotyczące serwera IIS.
Kilka dni przed udostępnieniem poprawki Microsoft wprowadził również bezpłatny pakiet Microsoft Baseline Security Analyzer (http://www.microsoft.com/technet/security/tools/tools/mbsahome.asp), przeznaczony dla użytkowników Windows 2000 i XP. Umożliwia on analizę podstawowych parametrów konfiguracyjnych, związanych z bezpieczeństwem systemów operacyjnych (czy konta użytkowników są zabezpieczone hasłami, czy są to proste hasła, ile kont administracyjnych jest na danym komputerze, czy katalogi i systemy plików są współdzielone) oraz weryfikuje, czy zostały zainstalowane najnowsze wersje poprawek do systemów i aplikacji IIS, SQL Server 2000 i 7.0, Internet Explorer (od wersji 5.01) oraz Office 2000 i XP.
Administratorzy z wykorzystaniem MBSA mogą sprawdzić bezpieczeństwo wszystkich stacji roboczych i serwerów, pracujących w sieci.