Обнаружена опасная уязвимость в Microsoft IIS

Теги: уязвимость, IIS

Уязвимость может позволить злоумышленнику загрузить и выполнить вредоносный файл на системе.

Уязвимость обнаружена в Microsoft Internet Information Services (IIS) 6 при обработке файлов, содержащих несколько расширений, разделенных символом ";", например файл test.asp;.jpg. Подобный файл будет выполнен Web сервером как ASP файл.

Злоумышленник может загрузить файл, содержащий несколько расширений через приложение стороннего производителя, которое ограничивает загрузку файлов на основании расширения файла. Удачная эксплуатация уязвимости может позволить атакующему выполнить произвольный ASP код на системе.

В настоящий момент способов устранения уязвимости не существует. В качестве временного решения производителям программного обеспечения рекомендуется переименовывать имена загружаемых файлов и проверять файлы перед загрузкой на соответствие MIME типа файла.


или введите имя

CAPTCHA
Страницы: 1  2  3  
хз кто
25-12-2009 16:13:13
а кто вобще этой пародией на веб фтп сервер пользуется ? да раньше он был актуален для корпоративных веб порталов но и они уже в большенстве своём переползают на другие средства, ту же самую яву на томкате. я не про то что iis уг, мне просто интересна ниша где он ещё актуален
0 |
25-12-2009 17:30:11
>а кто вобще этой пародией на веб фтп сервер пользуется ? Этими словами ты лишь подчёркиваешь свою некомпетентность, IIS мощный Веб-сервер, второй по популярности в мире, после Apache, это так к сведению.
0 |
25-12-2009 18:04:19
Кстати, IIS на отдаче статического контента показывает более высокое быстродействие, нежели Apache. Потому что может работать как часть ядра. Но Apache тем не менее уверенно держит позиции самого популярного веб сервера...
0 |
03917
25-12-2009 19:04:59
А можно ссылку на какой нибудь тест? Очень хочется посмотреть скорость работы IIS по-сравнению с Apache
0 |
25-12-2009 21:11:33
Найдите в яндексе. Учтите, речь идет про отдачу статического контента, не про CGI и работу с модулями.
0 |
25-12-2009 21:56:09
Пук-пук, ты сперва разберись, что такое торренты...
0 |
25-12-2009 22:00:10
З.Ы. Где на сайте обратная связь?
0 |
25-12-2009 22:30:51
Пупок, не хорошо самого себя плюсовать. Видать -106 голосов в соседней теме тебе не разъяснили, что если будешь себя плюсовать, вечно минус тебе обеспечен.
0 |
25-12-2009 22:32:24
З.Ы. просидируй пиратскую винду, а то все ушли...
0 |
25-12-2009 22:33:46
З.Ы. Это же надо быть таким дибилом тупым, что бы удалять куки и таким образо плючовать свои говно-посты.
0 |
25-12-2009 22:37:30
Вообще я бы тебе ебало набил, не из-за того, что ты "борешся" с пиратством, а из-за того, что половина того, о чем ты пищиш - бред, и пишешь ты только о том, где твое очко не порвут интересы других, одним словом шавка, которая хочет угодить другим, что бы найти себе теплое место, вот из-за таких и страдают славяне.
0 |
25-12-2009 22:42:58
З.Ы. Попуп - п0ц, а минусы сыпятся на тех, кто против, по простой причине, админы секлаба фильтруют голоса по кукам, любой сниффер может понизить/повысить голоса до сотен/тысяч и т.д. Вот и прицина того, почему быдл_0-попуп в минусах, вот в принципе и все, что я хотел сказать...
0 |
25-12-2009 22:44:29
Т.е в плюсах. Прощу прощения у адекватных польхователей, немного выпил и ошибся))
0 |
cwerj
28-12-2009 18:38:01
Ви поц. Обои два.
0 |
25-12-2009 23:43:50
Учтите, речь идет про отдачу статического контента, не про CGI и работу с модулями.А собственно разница какая, если есть возможность запуска произвольного кода?
0 |
Фанат Попупа
26-12-2009 10:02:44
Бе-бе-бе...
0 |
poh
26-12-2009 16:13:40
таки впился, но для этих целей используют какой-нибудь nginx
0 |
poh
26-12-2009 16:13:56
таки впился, но для этих целей используют какой-нибудь nginx
0 |
Читающий
30-12-2009 17:05:24
Я так понимаю что этот сайт уже должен быть в ауте ибо по банеру в низу он первый кандидат на проверку )
0 |
ыыы
25-12-2009 19:25:59
вот вот, победа конца 90-х . буду переносить свою страничку с народ.ру, знаю чем воспользуюсь.
0 |
фетиш-мастер [Малиновые штаны]
27-12-2009 16:54:15
Кстати, IIS на отдаче статического контента показывает более высокое быстродействие, нежели Apache. Потому что может работать как часть ядра. Но Apache тем не менее уверенно держит позиции самого популярного веб сервера... ламмер детектед апач создан для отдачи динамического контента хотите отдавать статику - велькам ту нджинкс, лхттпд и т.д. иис с ними рядом не стоял
0 |
Trojan.Encoder
26-12-2009 10:00:31
Я не уверен, что апологеты галимой императивщины могут юзать фтп сервер... :lool: :rofl:
0 |
Чукча
28-12-2009 08:51:27
Однако, самый безопасный сервер в самой безопасной ОС, однако
0 |
Холивар
25-12-2009 16:30:10
Назовите тогда хоть один популярный продукт, которые не содержал уязвимость. Получается у вас все решето.
0 |
88397
25-12-2009 16:39:43
Получается у вас все решето. У вас получается что продукты микросовта имеет столько же дыр, как и все остальное. Однако колонка слева как бы намекает, что шkoльные году чудесные...
0 |
25-12-2009 18:05:59
Я уверен, что ни в одном вашем программном продукте нет уязвимости. Потому что вы ничего кроме нескольких строчек на безграмотном русском языке, которые весьма тупы, ничего не написали за свою жизнь.
0 |
88397
25-12-2009 19:06:52
А ну найди уязвимость вот этой программы http://www.kaa.org.ua/programmi/nod32-passview.html раз ты так уверен ))
0 |
91275
28-12-2009 10:17:12
как могут быть ошибки в том, чего не существует? 404 ))
0 |
88397
28-12-2009 11:40:24
Это секбаш скукожил ссылку ткни сюда
0 |
Александр Попуп
25-12-2009 20:51:04
Я уверен, что ни в одном моем программном продукте нет уязвимости. Потому что я ничего кроме нескольких строчек на безграмотном русском языке, которые весьма тупы, ничего не написал за свою жизнь.
0 |
25-12-2009 23:44:30
Я уверен, что ни в одном моем программном продукте нет уязвимости. Потому что я ничего кроме нескольких строчек на безграмотном русском языке, которые весьма тупы, ничего не написал за свою жизнь.[quote] Аминь. Я уверен, что ни в одном моем программном продукте нет уязвимости. Потому что я ничего кроме несколь
0 |
25-12-2009 22:28:27
Потому что вы ничего кроме нескольких строчек на безграмотном русском языке, которые весьма тупы, ничего не написали за свою жизнь.Ебл, ты сперва ошибки в своем говно-блоге исправь, а уж затем других критикуй, сам дуб-дубом еще и язык поварачивается других учить.
0 |
4242
29-12-2009 00:57:17
Странно рассуждать о количестве дыр, в то время как только ядро линукса по ежемесячному количеству уязвимостей сравнимо со всеми продуктами MS вместе взятыми.
0 |
08985
25-12-2009 17:28:26
С трудом верится, что можно быть такими криворукими программистами, скорее всего это умышленно оставленный backdoor
0 |
Нанобот
25-12-2009 21:59:17
помнится, раньше апача славилась креативной обработкой файлов типа aaa.php.jpg, теперь вот IIS туда же
0 |
25-12-2009 18:34:13
Полностью с вами согласен! Явный бэкдор оставлять нельзя - скандал, суды... Вместо этого делается наемренная ошибка, с использованием которой можно атаковать систему. Кстати, наверняка в самом пингвиндовсе и околопингвиньем софте такие закладки тоже есть. Вспомнить хотя бы debian openssl, в которой какая-то личность (интересно, что с ней стало) закомментировала кусок кода, испортив работоспособность этой криптографической библиотеки.
0 |
odmen
25-12-2009 18:57:47
такие вещи как openssl и openvpn надо из исходников ставить Кстати в дебиане несколько раз было замеченно что несовсем там и альтруисты сидят
0 |
25-12-2009 23:42:44
Несколько? Я помню только один странный случай - и тот связан с valgrid-ом.
0 |
фотограф
25-12-2009 19:21:20
секлаб, дай фотку загрузить.
0 |
Ы
25-12-2009 19:45:34
А аватарка для тебя уже не фотка?
0 |
Это ты про Попупа?
26-12-2009 12:59:45
Это ты про Попупа? +1 )))))
0 |
Тля!
26-12-2009 10:57:08
Вроде этот движок на апаче вертится. Дык и CMS - это не тупой ISS-сервер.
0 |
fff
26-12-2009 15:01:04
на винде и с апачем, олололололололол
0 |
sand
26-12-2009 20:12:44
ага, еще + кеды вообще феерическая связка.
0 |
петр
26-12-2009 20:23:06
вы с ума сошли это поделие уровня курсовой работы ставить на профессиональную ось?
0 |
Страницы: 1  2  3