Подробности уязвимости в Microsoft IIS

image

Теги: Microsoft, уязвимость, IIS

Уязвимость в Microsoft IIS может позволить злоумышленнику получить доступ к некоторым данным на сервере.

В понедельник мы опубликовали уведомление безопасности для уязвимости в Microsoft IIS. Уязвимость в Microsoft IIS может позволить злоумышленнику получить доступ к некоторым данным на сервере. Уязвимости подвержен IIS версий 5, 5.1 и 6.

Описание уязвимости:

Уязвимость существует из-за ошибки при обработке WebDAV запросов к директориям, требуемым аутентификацию. Удаленный пользователь может с помощью специально сформированного HTTP GET запроса, содержащего Unicode символы и "Translate: f" HTTP заголовок, обойти ограничения безопасности и, например, скачать файлы с защищенных каталогов. Удачная эксплуатация уязвимости также может позволить загрузку произвольных файлов в защищенные WebDAV каталоги.

Уязвимости подвержена только определенная конфигурация IIS. Сначала мы перечислим конфигурации, которые не подвержены уязвимости:

  • На IIS сервере не используется WebDAV. В Windows Server 2003 IIS (версия 6) WebDAV отключен по умолчанию.
  • IIS сервер не использует IIS привилегии для ограничения доступа аутентифицированным пользователям
  • IIS сервер не предоставляет доступ к файловой системе для учетной записи IUSR_[Имя системы]
  • IIS сервер, на котором находятся Web приложения, использующие аутентификацию, основанную на формах

Уязвимой конфигурация считается, если :

  • IIS 5, 5.1 или 6 использует WebDAV
  • IIS сервер использует IIS привилегии для ограничения доступа к файлам или каталогам для аутентифицированных пользователей
  • Доступ к файловой системе предоставлен учетной записи IUSR_[Имя системы]
  • Родительский каталог для защищенной папки разрешен для доступа анонимным пользователям.

Если настройки вашего сервера соответствуют всем пунктам, перечисленным в уязвимой конфигурации, анонимный удаленный пользователь может воспользоваться уязвимость для получения файлов, которые обычно доступны только аутентифицированным пользователям.

Временное решение

Microsoft разработала несколько вариантов по устранению уязвимости, до выхода официального исправления.

Вариант 1: Отключение WebDAV

Если вы не используете WebDAV, то самым правильным вариантом было бы его отключение. Для того, чтобы отключить WebDAV необходимо выполнить следующие действия:

  • Перейдите к ключу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
  • Добавьте параметр:

Value name: DisableWebDAV
Data type: DWORD
Value data: 1

  • Перезагрузите IIS.

Более подробно о том, как отключить WebDAV можно прочитать по адресу:
http://support.microsoft.com/kb/241520

Вариант 2: измените списки контроля доступа для запрета доступа для учетной записи IUSR_[Имя системы]

Не забывайте, что используются 2 уровня привилегий для файлов, которые обрабатываются IIS. Первое – пользователю доступ должен быть предоставлен файловой системой NTFS, и только после этого осуществляется проверка доступа в метаданных IIS. Если вы запретите доступ к серверу для анонимной учетной записи (IUSR_[Имя системы]), злоумышленник не сможет воспользоваться этой уязвимостью. Более подробно об ограничении доступа можно прочитать по адресу:
http://support.microsoft.com/kb/271071

Вариант 3: блокирование доступа с помощью URLScan

URLScan может предотвратить попытки эксплуатации уязвимости. Более подробно об использовании URLScan можно прочитать по адресу:
http://technet.microsoft.com/en-us/security/cc242650.aspx

SecurityLab рекомендует воспользоваться один из предложенных решений для временного устранения уязвимости до выхода официального исправления от производителя.


или введите имя

CAPTCHA
Страницы: 1  2  
админ
20-05-2009 13:50:48
debian.org (в крайнем случае ubuntu.com) самое лучшее решение для устранения этой узявимости
0 |
20-05-2009 22:03:59
Какой удар в лоб для МС, такая новость и на секлабе И впрямь урезали промоутинг-бюджет на продукты МС, раз секлаб идёт на такие жесткие меры
0 |
Имя
21-05-2009 12:38:00
openbsd.org в крайнем случае - фряха. винду пихать в инет - это что-то...
0 |
Heretic
20-05-2009 13:55:11
Странно как то новости составляют, новость описана по M$ W$ полностью в плане защиты от уязвимости. Как проблемы в *nix системах так только в 2х строчках. Т.е. получается что администраторам Windows нужно разжевать все? Смешно =)
0 |
20-05-2009 14:32:30
Обычно, для проблем с виндой существует четкое решение (например перейти ни никсы), а вот в никсах так не бывает, потому что решение проблемы может зависеть от множества факторов.
0 |
12345
20-05-2009 14:44:36
ога, в никсах обязательно нужно кампелировать йадро, редактировать канфиги, править исходнеки, песать скрепты, фтыкать в мануалы до красноты в глазах...действительно, огромное множество факторов...не то, что в венде всё просто - открыл редактор реестра, изменил одно значение и забыл
0 |
74732
21-05-2009 12:43:20
да вы, батенька ламер-эникейщег... и не видали(и тем более не решали) б0льших проблем с вантузом, чем кряк игрушки
0 |
I Believe In Ubuntu
21-05-2009 21:30:43
ага...а еще Линупс при неправильный настройках вызывает грозы и цунами в японии! не используйте линупс! все на Ведро 7 , на все сервера ведро2008, все настраивается 1 параметром в реестре, всего то у параметра x341890234HUJHjk4 сменить аргумент на 1, и все баги системы порпадают. капча 91193 таки уже вызывает 91193, для 12345
0 |
12345
20-05-2009 14:38:55
это потому, что проблемы в *nix системах абсолютно никого не волнуют, как впрочем и сами *nix системы
0 |
красноглазый фанатЕг
21-05-2009 21:34:33
это потому, что проблемы с умственным развитием 12345 его родителей не волнуют, так же как и сам 12345
0 |
asd
20-05-2009 16:30:26
Т.е. получается что администраторам Windows нужно разжевать все? Смешно =) половина мега-линупсятнегов просто не осилят тутор как ее устранить, т.к если в ос не скачиваются кодеки - это уже страшный баг, а тут уязвимость... толку кому то сидеть тратить время на описание того, что не смогут сделать... трололо
0 |
20-05-2009 18:43:15
потому что MS заботится о безопасности и готовит описания, а если у поставил красноглазую поделку, будь добр, ипись с ней сам!
0 |
имя
20-05-2009 19:57:17
трололо, это ты про поделку красноглазых индусов балмера что ли?
0 |
12345
20-05-2009 14:36:47
Временное решение Вариант 1: Отключение WebDAV Если вы не используете WebDAV, то самым правильным вариантом было бы его отключение. это они как-бы намекают, что WebDAV включен в конфигурации по-умолчанию?
0 |
20-05-2009 14:43:19
WebDAV включен по умолчанию в IIS 5 и 5.1. В IIS 6 по умолчанию отключен. Напомню, IIS 5 - Windows 2000 IIS 5.1 - Windows XP IIS 6 - Windows 2003
0 |
20-05-2009 18:44:24
IIS 5.1 - Windows XP как много юзеров используют IIS с Windows XP?
0 |
20-05-2009 21:12:46
Йа использую, на дев-машине. Девелопить на Вын2К3 - лом безумный, да и кто ж мне лицензию даст...
0 |
wind0ze_uzer
20-05-2009 14:49:19
> Вариант 1: Отключение WebDAV Круто!!!! Это для заплаток для Windows 7 и Vista Microsoft в следующий раз разработает временное решение - "Отключите компьютер до выхода официального исправления"
0 |
97051
20-05-2009 15:20:54
+500 "Отключите компьютер до выхода официального исправления" На два года... LOL
0 |
94912
20-05-2009 19:59:59
вообщето начиная с висты и сервера 2008 установлен иис 7 версии.. дятел..
0 |
20-05-2009 20:11:49
Вообще-то он тоже уязвим. Только на секлабе новость отредактировали.
0 |
gnu gpl
20-05-2009 15:31:36
Где мне эту хню для FreeBSD найти, а то я уязвимость не закрою.
0 |
12345
20-05-2009 17:03:25
для закрытия этой уязвимости в freebsd нужно всего лишь удалить первую строчку в файле /etc/passwd
0 |
20-05-2009 17:46:31
ха ха ха бедный трол вантуза даже незнает что в первой строчке /etc/passwd пишется ну хоть названием файла не ошибся и на этом спасибо
0 |
21-05-2009 11:30:17
Пусть удалит первые две строчки, все равно там комментарий
0 |
Страницы: 1  2