Возврат
ТелекомВести

Предыдущая новость22 июня 2001 г.Следующая новость



Брешь в серверном ПО Microsoft


21 июня ("Телеком-Форум")

На этой неделе в серверном ПО IIS компании Microsoft была обнаружена брешь в системе защиты, благодаря которой злоумышленник может довольно легко получить контроль над Web-сайтом, использующим данный программный продукт. Недостаток в системе содержится в компоненте, осуществляющем взаимодействие модуля Internet Information Service (IIS) и модуля Microsoft Indexing Service. По данным Microsoft, проблема состоит в специфическом файле idq.dll интерфейса ISAPI, который устанавливается "по умолчанию" в процессе инсталляции IIS. Этот файл входит в состав сервера индексации (Index Server) и обеспечивает поддержку управляющих скриптов (файлы с расширением .ida) и запросов на получение информации из Internet (idq).

В idq.dll, в той части кода, которая обрабатывает URL-адреса, имеется непроверяемый буфер, благодаря чему хакер может организовать атаку с переполнением этого буфера и получить контроль над машиной на уровне доступа к системе. Атака на сервер будет иметь успех даже в тот момент, когда Index Server не работает, из-за того, что переполнение буфера происходит до того, как запрашиваются функции индексирования информации.

Обнаруженная брешь существует во всех службах IIS, работающих под управлением ОС Windows NT 4.0, Windows 2000 или бета-версии Windows XP (окончательный релиз которой запланирован на октябрь этого года). Это уже третья "дырка" найденная в модуле IIS с начала мая. Первые две также классифицировались как "очень серьезные" и одна из них была связана с интерфейсом ISAPI.

Всего в мире насчитывается более 6 млн Web-серверов использующих ПО IIS. "Заплатку" закрывающую обнаруженную брешь можно скачать с Web-узла Microsoft по адресу http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Представительство Microsoft

Тел.: (095) 967-8585

e-mail: russia@microsoft.com

http://www.microsoft.com/rus

Дополнительная информация

Internet Explorer может скрывать опасные файлы (20 апреля 2001 г.)

Microsoft ликвидирует дыру в защите Win2k (27 сентября 2000 г.)

Service Pack 1 для Windows 2000 (1 августа 2000 г.)

Окна в Internet (21 февраля 2000 г.)