This is a machine translation. The original page (in English) is available here.

Dernières nouvelles du monde: - Pourquoi les états-UNIS envisage de TikTok Ban Flux RSS

La maison>Des nouvelles du monde>Microsoft promet patch pour les critiques sur le Web bug du serveur
Haut les enregistreurs de frappe
Afficher plus...

Microsoft promet patch pour les critiques sur le Web bug du serveur

  •  
Note des utilisateurs: aucun commentaire. Soyez le premier à revoir! 0 - 1 votes
Microsoft a déclaré hier qu'il travaille sur un correctif pour un bug dans son populaire logiciel de serveur Web, mais il est peu probable que la société sera corrigé assez vite à faire la semaine prochaine publication régulier, un expert en sécurité prédit.

Mardi en fin de journée, Microsoft a publié un formel avis de sécurité pour une vulnérabilité dans trois éditions anciennes de Internet Information Services (IIS) serveur, quelques heures à peine après avoir confirmé que son équipe de sécurité a été fouiller dans le code de l'exploit qui a été rendue publique lundi.

"Microsoft travaille actuellement à élaborer une mise à jour de sécurité pour corriger cette vulnérabilité," la société a déclaré dans l'avis.

Le bug est dans le protocole de transfert de fichier (FTP) serveur inclus dans IIS. Le serveur FTP ne parvient pas à analyser correctement spécialement conçu pour les noms de répertoire, où les pirates peuvent exploiter pour forcer une pile de débordement de la mémoire tampon, puis injecter leur propre code malveillant sur le serveur Web.

Possibilité de code d'exploitation a été publié sur le milw0rm.com site tôt lundi, quelque chose que Microsoft a pris exception. "Cette vulnérabilité n'a pas été divulgués de façon responsable afin de Microsoft et peut mettre les utilisateurs de l'ordinateur au risque," a dit Alan Wallace, un porte-parole du Microsoft Security Response Center (MSRC). "Nous croyons que la vulgate de la pratique de rapports de vulnérabilités directement à un vendeur qui sert le meilleur intérêt de tous."

Il est quasiment certain que Microsoft n'aura pas de patch prêt par Sept. 8, de son côté, à intervalles réguliers, mise à jour de sécurité. Pour sa part, la société a utilisé des termes standards pour décrire le moment où il serait corrigé la faille. "Microsoft publiera la mise à jour de sécurité une fois qu'il a atteint un niveau de qualité approprié pour une large diffusion," l'consultatif de la lecture.

"Je ne pas attendre un correctif de Microsoft la semaine prochaine", a déclaré Wolfgang Kandek, directeur technique d'une société de sécurité Qualys. "C'est trop tôt pour s'attendre à avoir quelque chose de prêt."

Jusqu'à ce qu'un correctif est disponible, Microsoft a exhorté les administrateurs responsables de IIS 5.0, 5.1 et 6.0 de serveurs Web pour en faire l'une des nombreuses possibilités de mouvements défensifs, tout de qui va paralyser les exploits connus. "Le résultat final des solutions de contournement est d'empêcher les utilisateurs non approuvés d'avoir l'accès en écriture pour le service FTP," Bruce Dang et Jonathan Ness, deux membres du MSRC équipe d'ingénierie, a déclaré dans une entrée sur un blog d'entreprise , mardi soir.

"La Figure si vous avez besoin du FTP", a déclaré Kandek, en écho à l'un des Microsoft solutions de contournement. "Et si vous ne le faites pas, l'éteindre. Vous pouvez également désactiver l'accès en écriture, c'est un joli moyen intelligent d'utiliser l'OS de durcir FTP. Ou voir si vous pouvez désactiver l'accès anonyme à FTP."

Kandek dit-in-the-sauvages exploits vont rapidement faire leur apparition. "C'est tellement facile," dit-il de l'emploi, les pirates ont à faire pour "weaponize" la publication d'un code d'exploitation. "Tout ce qu'ils ont à faire est de mettre un script autour de [la possibilité de code d'exploitation]. C'est très, très simple à faire."

Bien qu'IIS 5.0 sur Windows 2000, IIE 5.1 sur Windows XP et IIS 6.0 sur Windows Server 2003 sont tous vulnérables à l'attaque, Microsoft a déclaré que les nouvelles versions du serveur Web -- IIS 7.0 sur Windows Vista et Windows Server 2008, et IIS 7.5 sur Windows 7 et Windows Server 2008 R2 -- ne sont pas à risque.

Kandek recommandé aux utilisateurs de mettre en œuvre l'une des solutions de contournement plutôt que de penser à la mise à niveau afin de contourner le problème. "La mise à niveau signifie que vous aurez à tester, et il y a toujours la possibilité que quelque chose peut se briser", dit-il.

Microsoft serveur IIS, actuellement le deuxième au monde les plus populaires de serveur Web, représente environ 22% de tous les serveurs Web, selon BRITANNIQUE Netcraft. L'open-source logiciels serveur Apache, avec 46% de part, reste le meilleur choix.
Date de publication:
Auteur:
La maison>Des nouvelles du monde>Microsoft promet patch pour les critiques sur le Web bug du serveur
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.