Nachdem der code veröffentlicht Microsoft zum patch-IIS-bug
Einen Tag, nachdem ein Sicherheitsexperte veröffentlichte Angriffs-code für eine Sicherheitslücke im Microsoft IIS-server-software, Microsoft sagte, es plant mit dem patch-Problem.
Auch Microsoft veröffentlicht ein security advisory , die das problem beschreiben und Detaillieren technische Umgehungsmöglichkeiten, dass system-Administratoren implementieren kann, während Sie warten auf einen patch. "Wir untersuchen derzeit das Problem... und arbeitet an der Entwicklung eines Sicherheits-Updates," Microsoft sagte in einer Notiz auf seiner Website. "Dieses update wird veröffentlicht, sobald es erreicht ein Maß an Qualität für ein breites Publikum."
Microsoft ' s nächsten Satz von Sicherheits-patches ist durch Sept. 8. Es ist nicht klar, ob das Unternehmen in der Lage zu entwickeln und testen Sie die IIS (Internet Information Services) - patch in der Zeit für das update, jedoch.
Der Angriffs-code wurde am Montag veröffentlicht von Nikolaos Rangos, der sagte, er habe nicht teilt das software-Unternehmen das Thema vor der Zeit. Rangos Angriff ist als sehr zuverlässig auf IIS 5 Systeme und könnte verwendet werden, um die Ausführung nicht autorisierter software auf dem server.
Der Fehler liegt in der FTP - (File Transfer Protocol) software, die von IIS verwendet, und wird als ein wichtiger Punkt für die Nutzer der älteren IIS-5 Produkt. IIS 6-Nutzer sind ebenfalls betroffen, aber Sie sind weniger gefährdet, da der Weg IIS 6 kompiliert wurde, Microsoft sagte in seiner beratenden. "Dies entfernt nicht die Schwachstelle, sondern macht die Ausnutzung der Schwachstelle zu erschweren."
Anwender, die mit der mehr-letzten IIS 7 oder die nicht sind, läuft der FTP-Dienst nicht betroffen sind, Microsoft sagte,.
Auch für IIS 5 und 6 Nutzer, es gibt noch einen mildernden Umstand: "Betroffene Systeme sind nicht anfällig, es sei denn, nicht vertrauenswürdigen FTP-Benutzer erhalten lese-Zugriff. Standardmäßig, FTP-Benutzer werden nicht gewährt, schreibend," Microsoft sagte,.
Obwohl noch niemand berichtet real-world-Attacken über Rangos code, der security-Anbieter Symantec sagte am Dienstag , dass "viele Systeme werden anfällig über das internet und in-the-wild-Angriffe auftreten."
Ein weiteres Sicherheits-Unternehmen Secunia bewertet die Schwachstelle "mäßig kritisch"an.
Im vergangenen Mai, Web-analytics-Firma Netcraft zählte 2,8 Millionen Websites immer noch mit dem IIS 5 software, aber es ist nicht klar, wie viele von Ihnen hätte das FTP-set-up, dass Sie von diesem Angriff betroffen.
Datum der Veröffentlichung: Auch Microsoft veröffentlicht ein security advisory , die das problem beschreiben und Detaillieren technische Umgehungsmöglichkeiten, dass system-Administratoren implementieren kann, während Sie warten auf einen patch. "Wir untersuchen derzeit das Problem... und arbeitet an der Entwicklung eines Sicherheits-Updates," Microsoft sagte in einer Notiz auf seiner Website. "Dieses update wird veröffentlicht, sobald es erreicht ein Maß an Qualität für ein breites Publikum."
Microsoft ' s nächsten Satz von Sicherheits-patches ist durch Sept. 8. Es ist nicht klar, ob das Unternehmen in der Lage zu entwickeln und testen Sie die IIS (Internet Information Services) - patch in der Zeit für das update, jedoch.
Der Angriffs-code wurde am Montag veröffentlicht von Nikolaos Rangos, der sagte, er habe nicht teilt das software-Unternehmen das Thema vor der Zeit. Rangos Angriff ist als sehr zuverlässig auf IIS 5 Systeme und könnte verwendet werden, um die Ausführung nicht autorisierter software auf dem server.
Der Fehler liegt in der FTP - (File Transfer Protocol) software, die von IIS verwendet, und wird als ein wichtiger Punkt für die Nutzer der älteren IIS-5 Produkt. IIS 6-Nutzer sind ebenfalls betroffen, aber Sie sind weniger gefährdet, da der Weg IIS 6 kompiliert wurde, Microsoft sagte in seiner beratenden. "Dies entfernt nicht die Schwachstelle, sondern macht die Ausnutzung der Schwachstelle zu erschweren."
Anwender, die mit der mehr-letzten IIS 7 oder die nicht sind, läuft der FTP-Dienst nicht betroffen sind, Microsoft sagte,.
Auch für IIS 5 und 6 Nutzer, es gibt noch einen mildernden Umstand: "Betroffene Systeme sind nicht anfällig, es sei denn, nicht vertrauenswürdigen FTP-Benutzer erhalten lese-Zugriff. Standardmäßig, FTP-Benutzer werden nicht gewährt, schreibend," Microsoft sagte,.
Obwohl noch niemand berichtet real-world-Attacken über Rangos code, der security-Anbieter Symantec sagte am Dienstag , dass "viele Systeme werden anfällig über das internet und in-the-wild-Angriffe auftreten."
Ein weiteres Sicherheits-Unternehmen Secunia bewertet die Schwachstelle "mäßig kritisch"an.
Im vergangenen Mai, Web-analytics-Firma Netcraft zählte 2,8 Millionen Websites immer noch mit dem IIS 5 software, aber es ist nicht klar, wie viele von Ihnen hätte das FTP-set-up, dass Sie von diesem Angriff betroffen.
Autor: Keylogger.Org Team
