Microsoft verspricht patch für kritische Web-server-Fehler
Microsoft sagte gestern: es arbeitet an einem patch für einen bug in seiner beliebten Web-server-software, aber es ist unwahrscheinlich, dass das Unternehmen wird ein Update schnell genug, um nächste Woche das reguläre release, ein security-Experte vorhergesagt.
Späten Dienstag, Microsoft hat eine formelle security advisory eine Schwachstelle in drei älteren Versionen von Internet Information Services (IIS) - server, der nur wenige Stunden nach der Bestätigung, dass seine security-team war, Stossen Sie in exploit-code , der ging an die öffentlichkeit am Montag.
"Microsoft arbeitet derzeit an der Entwicklung einer Sicherheits-update zur Behebung dieser Schwachstelle", erklärte das Unternehmen in die Beratung.
Der Fehler in dem file transfer protocol (FTP) - server enthalten, die in IIS. Der FTP-server wird nicht ordnungsgemäß analysiert werden, speziell gestaltete directory-Namen, die Hacker nutzen können, um zu erzwingen, einen stack-buffer-overflow, und dann Spritzen Sie Ihre eigenen bösartigen code auf dem Web-server.
Exploit-code veröffentlicht wurde milw0rm.com Website Montag früh, etwas, dass Microsoft nahm Ausnahme. "Diese Sicherheitslücke wurde nicht verantwortungsbewusst weitergegeben zu Microsoft und können computer-Nutzer in Gefahr," sagte Alan Wallace, ein Sprecher für das Microsoft Security Response Center (MSRC). "Wir glauben, dass die allgemein akzeptierte Praxis der Berichterstattung Verwundbarkeiten, die direkt an einen Lieferanten dient jeder beste Interessen."
Es ist fast sicher, dass Microsoft keinen patch bereit, Sept. 8, seiner nächsten regelmäßigen Sicherheits-Updates. Für seinen Teil, verwendet das Unternehmen vorformulierten Sprache zu beschreiben, als wäre es beheben Sie den Fehler. "Microsoft stellt das Sicherheitsupdate, sobald es erreicht hat, eine angemessene Qualität für ein breites Publikum," die Sicherheitsempfehlung zu Lesen.
"Ich erwarte nicht, dass ein fix von Microsoft in der nächsten Woche", sagte Wolfgang Kandek, chief technology officer bei Sicherheitsfirma Qualys. "Das ist zu früh, um zu erwarten, dass Sie etwas fertig haben."
Bis ein patch verfügbar ist, wird Microsoft aufgefordert Administratoren, die verantwortlich für IIS 5.0, 5.1 und 6.0 Web Server, um eine von mehreren möglichen defensiv-moves, von denen jeder wird stymie die derzeit bekannten exploits. "Das Ergebnis des workarounds ist, um zu verhindern, dass nicht Vertrauenswürdige Benutzer mit Schreibrechten auf dem FTP-service," Bruce Dang und Jonathan Ness, zwei Mitglieder der MSRC-engineering-team, sagte in einem Eintrag auf einem Unternehmens-blog Dienstag Abend.
"Herausfinden, wenn Sie müssen FTP", sagt Kandek, in Anlehnung an einen der Microsoft-workarounds. "Und wenn Sie nicht, schalten Sie es aus. Sie können auch deaktivieren Sie den Schreibzugriff-das ist ein ziemlich kluger Weg, um mit dem Betriebssystem zu Härten FTP. Oder sehen Sie, wenn Sie können deaktivieren Sie anonymen Zugriff auf FTP."
Kandek, sagte in-the-wild-exploits werden schnell Ihr Aussehen zu machen. "Es ist so einfach", sagte er der job Hacker zu tun haben, um "weaponize" der veröffentlichte exploit-code. "Alles, was Sie tun müssen ist, setzen Sie ein Skript, um [der exploit-code]. Es ist sehr, sehr einfach zu tun."
Obwohl IIS 5.0 auf Windows 2000, IIE 5.1 unter Windows XP und IIS 6.0 unter Windows Server 2003 sind alle anfällig für Angriffe, Microsoft sagte, dass neuere Versionen des Web-server-IIS 7.0 unter Windows Vista und Windows Server 2008 und IIS 7.5 unter Windows 7 und Windows Server 2008 R2--, sind nicht gefährdet.
Kandek empfohlen, dass Benutzer implementieren Sie eine der Problemumgehungen, anstatt zu denken über die Aktualisierung zu umgehen, das problem. "Modernisierung bedeutet, Sie haben zu testen, und es gibt immer die chance, dass etwas brechen kann", sagte er.
Microsoft IIS-server, der derzeit die weltweit zweit-beliebteste Web-server - Konten für etwa 22% aller Web-Server, je nach UK-basierten Netcraft. Die open-source-Apache-server-software, mit einem 46% - Anteil, bleibt die erste Wahl.
Datum der Veröffentlichung: Späten Dienstag, Microsoft hat eine formelle security advisory eine Schwachstelle in drei älteren Versionen von Internet Information Services (IIS) - server, der nur wenige Stunden nach der Bestätigung, dass seine security-team war, Stossen Sie in exploit-code , der ging an die öffentlichkeit am Montag.
"Microsoft arbeitet derzeit an der Entwicklung einer Sicherheits-update zur Behebung dieser Schwachstelle", erklärte das Unternehmen in die Beratung.
Der Fehler in dem file transfer protocol (FTP) - server enthalten, die in IIS. Der FTP-server wird nicht ordnungsgemäß analysiert werden, speziell gestaltete directory-Namen, die Hacker nutzen können, um zu erzwingen, einen stack-buffer-overflow, und dann Spritzen Sie Ihre eigenen bösartigen code auf dem Web-server.
Exploit-code veröffentlicht wurde milw0rm.com Website Montag früh, etwas, dass Microsoft nahm Ausnahme. "Diese Sicherheitslücke wurde nicht verantwortungsbewusst weitergegeben zu Microsoft und können computer-Nutzer in Gefahr," sagte Alan Wallace, ein Sprecher für das Microsoft Security Response Center (MSRC). "Wir glauben, dass die allgemein akzeptierte Praxis der Berichterstattung Verwundbarkeiten, die direkt an einen Lieferanten dient jeder beste Interessen."
Es ist fast sicher, dass Microsoft keinen patch bereit, Sept. 8, seiner nächsten regelmäßigen Sicherheits-Updates. Für seinen Teil, verwendet das Unternehmen vorformulierten Sprache zu beschreiben, als wäre es beheben Sie den Fehler. "Microsoft stellt das Sicherheitsupdate, sobald es erreicht hat, eine angemessene Qualität für ein breites Publikum," die Sicherheitsempfehlung zu Lesen.
"Ich erwarte nicht, dass ein fix von Microsoft in der nächsten Woche", sagte Wolfgang Kandek, chief technology officer bei Sicherheitsfirma Qualys. "Das ist zu früh, um zu erwarten, dass Sie etwas fertig haben."
Bis ein patch verfügbar ist, wird Microsoft aufgefordert Administratoren, die verantwortlich für IIS 5.0, 5.1 und 6.0 Web Server, um eine von mehreren möglichen defensiv-moves, von denen jeder wird stymie die derzeit bekannten exploits. "Das Ergebnis des workarounds ist, um zu verhindern, dass nicht Vertrauenswürdige Benutzer mit Schreibrechten auf dem FTP-service," Bruce Dang und Jonathan Ness, zwei Mitglieder der MSRC-engineering-team, sagte in einem Eintrag auf einem Unternehmens-blog Dienstag Abend.
"Herausfinden, wenn Sie müssen FTP", sagt Kandek, in Anlehnung an einen der Microsoft-workarounds. "Und wenn Sie nicht, schalten Sie es aus. Sie können auch deaktivieren Sie den Schreibzugriff-das ist ein ziemlich kluger Weg, um mit dem Betriebssystem zu Härten FTP. Oder sehen Sie, wenn Sie können deaktivieren Sie anonymen Zugriff auf FTP."
Kandek, sagte in-the-wild-exploits werden schnell Ihr Aussehen zu machen. "Es ist so einfach", sagte er der job Hacker zu tun haben, um "weaponize" der veröffentlichte exploit-code. "Alles, was Sie tun müssen ist, setzen Sie ein Skript, um [der exploit-code]. Es ist sehr, sehr einfach zu tun."
Obwohl IIS 5.0 auf Windows 2000, IIE 5.1 unter Windows XP und IIS 6.0 unter Windows Server 2003 sind alle anfällig für Angriffe, Microsoft sagte, dass neuere Versionen des Web-server-IIS 7.0 unter Windows Vista und Windows Server 2008 und IIS 7.5 unter Windows 7 und Windows Server 2008 R2--, sind nicht gefährdet.
Kandek empfohlen, dass Benutzer implementieren Sie eine der Problemumgehungen, anstatt zu denken über die Aktualisierung zu umgehen, das problem. "Modernisierung bedeutet, Sie haben zu testen, und es gibt immer die chance, dass etwas brechen kann", sagte er.
Microsoft IIS-server, der derzeit die weltweit zweit-beliebteste Web-server - Konten für etwa 22% aller Web-Server, je nach UK-basierten Netcraft. Die open-source-Apache-server-software, mit einem 46% - Anteil, bleibt die erste Wahl.
Autor: Keylogger.Org Team
