Microsoftin palvelinsofta ontuu tiedostopäätteissä
20
IIS-ohjelmiston haavoittuvuuden löysi tietoturvatutkija Soroush Dalili. Hänen mukaansa (pdf) ongelma piilee tiedostopäätteiden käsittelyssä, sillä ohjelmisto on hämättävissä puolipisteellä.
Viestintäviraston Cert-fi antaa esimerkin. Vaikkapa tiedostoa evil.asp;.jpg käsitellään palvelimella kuten tavallista suoritettavaa .asp-tiedostoa, koska suoritettavien tiedostojen torjuminen perustuu tiedostopäätteeseen. Esimerkkitapauksessa tiedosto näyttää suojauksen kannalta .jpg-kuvatiedostolta.
Dalili uskoo vanhempien IIS-versioiden olevan haavoittuvia. Hän on todennut IIS6:n ja aiempien olevan hyväksikäytettävissä, mutta 7.5:ssä temppu ei toimi. Tutkija ei ole testannut IIS7:ää. Asp.net-sovellukset eivät ole haavoittuvia.
Microsoft
rauhoittelee
Microsoft kertoo tutkivansa ongelmaa, mutta ei jaa tutkijan huolestuneisuutta. Hyökkäyksiä ei ole tiedossa, ja IIS-palvelimen pitäisi muun muassa olla vakioasetuksia turvattomammassa tilassa ollakseen haavoittuva.
Cert-fi:n mukaan web-sovellusten tekijät voivat rajoittaa palvelimelle siirrettävien tiedostojen nimissä sallittujen merkkien valikoimaa tai pakottaa tiedostojen nimet turvallisiksi sen sijaan, että sovelluksen käyttäjä saisi valita nimen itse.
Www-palvelinten ylläpitäjien tulisi poistaa ohjelmien suoritusoikeudet kansioista, joihin tiedostoja voi siirtää.
Tutkija Soroush Dalili sai Microsoftilta nuhteita haavoittuvuuden vastuuttomasta julkistamisesta.
Kommentit (20)
Eikö tämä ole Linuxissa sun muissa oikeissa käyttöjärjestelmissä ratkaistu jo ainakin kyymmenen vuotta sitten?
Microsoftin systeemi taitaa olla ainoa missä tiedoston sisältö "tunnistetaan" jonkin kolmikirjaimisen päätteen perusteella?
pommi.exe.jpg ja MS on ainoa, jonka ohjelmistot menevät vipuun..
Kuinka moni web serverin ylläpitäjä antaa execute oikeuden tiedostoille upload kansioon?
Eikö tämä ole Linuxissa sun muissa oikeissa käyttöjärjestelmissä ratkaistu jo ainakin kyymmenen vuotta sitten?
Microsoftin systeemi taitaa olla ainoa missä tiedoston sisältö "tunnistetaan" jonkin kolmikirjaimisen päätteen perusteella?
pommi.exe.jpg ja MS on ainoa, jonka ohjelmistot menevät vipuun..
On niitä Apachejakin roottina pyörimässä ....
Jos halutaan maailmaa muuttaa, niin julkinen lista pystyyn johon ilmoitetaan mahdollisimman nopeasti kaikki reiät per käyttöjärjestelmä/softa. Joutuu IT-alan ammattilaisetkin hiukan miettimään mitä paskaa tuli asennettua, kun joku sen heti korkkaa. Joutuisi firmat OIKEASTI tekemään kunnon koodia.
Nythän siis kaupallinen taho vain paheksuu, kun joku löytää sen myymästä tuotteesta reikiä. On niiiiiin vituillaan koko softan kehitys tässä maailmassa. Äkkiä on saatava tuote markkinoille, oli se sitten roskaa tai ei ja vastuu jätetään ostajan vastuulle.
Ei ihme että avoin koodi on paljon järkevämpi vaihtoehto, koska silloin voi syyttää vain itseään ja päivitykset tulee vauhdilla. Mutta tietohallintojohtajahan ei halua tulla syytetyksi joten nykyinen järjestelmä tulee paskan myyntiä loputtomiin.
Olisi hassua jos autot tehtäisiin yhtä huonosti. "Oho, käsijarru ei toimikkaan mäessä. No päivitetään se parin viikon kuluttua ja pistäköön asiakkaat vaihteen silmään sammuttaessaan auton mäkeen."