Podatność w IIS

Soroush Dalili wykrył podatność w Microsoft Internet Information Services (IIS), za pomocą której możliwe jest wykonanie szkodliwego kodu na serwerach WWW korzystających z usług IIS.

Błąd polega na sposobie interpretacji przez IIS plików z wieloma rozszerzeniami rozdzielonych średnikiem np. file.asp;.jpg. W tym przypadku zostanie wykonany plik będący w rzeczywistości instrukcjami ASP, a nie plikiem graficznym.

Podatne wersje:
Problem dotyczy IIS w wersji 6 oraz starszych wydań.

Rozwiązanie:
Do czasu ukazania się odpowiedniej łaty webmasterzy powinni blokować wykonywanie kodu w katalogach Upload przez przypisywanie losowej nazwy każdemu uploadowanemu plikowi od użytkowników.

Źródło:
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
http://blogs.technet.com/msrc/archive...eports-of-a-vulnerability-in-iis.aspx
 

Ocena: 3/5 (1)
A
A+
A++
Drukuj
PDF