This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Мировые новости> > Microsoft обещает патч для критической ошибки веб-сервера
Лучшие кейлоггеры
Посмотреть еще...

Microsoft обещает исправить критическую ошибку веб-сервера

  •  
Рейтинг пользователя: нет отзывов. Будьте первым, кто рассмотрит его! 0-1 голос
Microsoft вчера заявила, что работает над исправлением ошибки в своем популярном программном обеспечении для веб-серверов, но маловероятно, что компания выпустит исправление достаточно быстро, чтобы сделать регулярный выпуск на следующей неделе, предсказал эксперт по безопасности.

Поздно вечером во вторник Microsoft выпустила официальную рекомендацию по безопасности для уязвимости в трех старых выпусках сервера Internet Information Services (IIS), всего через несколько часов после подтверждения того, что ее команда безопасности копалась в коде эксплойта, который был обнародован в понедельник.

"Microsoft в настоящее время работает над разработкой обновления безопасности для устранения этой уязвимости", - говорится в рекомендациях компании.

Ошибка находится на сервере протокола передачи файлов (FTP), входящем в состав IIS. FTP-сервер не может правильно анализировать специально созданные имена каталогов, которые хакеры могут использовать для принудительного переполнения буфера стека, а затем ввести свой собственный вредоносный код на веб-сервер.

Код эксплойта была опубликована на сайте milw0rm.com сайт рано утром в понедельник, что-то, что Microsoft сделала исключение. "Эта уязвимость не была ответственно раскрыта Microsoft и может подвергнуть риску пользователей компьютеров", - сказал Алан Уоллес, представитель Центра реагирования на проблемы безопасности Microsoft (MSRC). "Мы считаем, что общепринятая практика сообщать об уязвимостях непосредственно поставщику служит наилучшим интересам каждого."

Это почти наверняка, что Microsoft не будет иметь патч готов к сентябрю. 8, его следующее регулярно запланированное обновление системы безопасности. Со своей стороны, компания использовала шаблонный язык, чтобы описать, когда она исправит дефект. "Microsoft выпустит обновление для системы безопасности, как только оно достигнет соответствующего уровня качества для широкого распространения", - говорится в рекомендациях.

"Я не ожидаю исправления от Microsoft на следующей неделе", - сказал Вольфганг Кандек, главный технический директор охранной фирмы Qualys. -Это слишком рано, чтобы ожидать от них чего-то готового."

До тех пор, пока патч не будет доступен, Microsoft настоятельно призвала администраторов, ответственных за веб-серверы IIS 5.0, 5.1 и 6.0, сделать один из нескольких возможных защитных ходов, любой из которых помешает известным в настоящее время эксплойтам. "Конечным результатом обходных путей является предотвращение доступа ненадежных пользователей к службе FTP для записи", - заявили Брюс Данг и Джонатан Несс, два члена инженерной команды MSRC, в записи в блоге компании во вторник вечером.

- Выясните, нужен ли вам FTP, - сказал Кандек, повторяя один из обходных путей Microsoft. -А если нет, то выключи его. Вы также можете отключить доступ к записи - это довольно умный способ использовать ОС для закалки FTP. Или посмотрите, можно ли отключить анонимный доступ к FTP."

Кандек сказал, что в дикой природе подвиги быстро появятся. "Это так просто", - сказал он о работе, которую хакеры должны делать, чтобы" вооружить " опубликованный код эксплойта. "Все, что им нужно сделать, это поместить сценарий вокруг [кода эксплойта]. Это очень, очень просто сделать."

Хотя IIS 5.0 в Windows 2000, IIE 5.1 В Windows XP и IIS 6.0 в Windows Server 2003 уязвимы для атак, Microsoft заявила, что более новые версии веб-сервера-IIS 7.0 в Windows Vista и Windows Server 2008 и IIS 7.5 в Windows 7 и Windows Server 2008 R2-не подвергаются риску.

Кандек рекомендовал пользователям реализовать один из обходных путей, а не думать об обновлении, чтобы обойти эту проблему. "Обновление означает, что вам придется протестировать, и всегда есть шанс, что что-то может сломаться", - сказал он.

По данным британской компании Netcraft, на долю IIS-сервера Microsoft, являющегося в настоящее время вторым по популярности веб-сервером в мире, приходится около 22% всех веб-серверов. Серверное программное обеспечение Apache с открытым исходным кодом, доля которого составляет 46%, остается лучшим выбором.
Дата публикации:
Автор:
Главная> > Мировые новости> > Microsoft обещает патч для критической ошибки веб-сервера
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.