Nettsteder

Etter at kode er utgitt, Microsoft til å laste IIS-feil

Containers for Existing .NET Apps Part 1

Containers for Existing .NET Apps Part 1
Anonim

En dag etter at en sikkerhetsforsker har publisert angrepskode for en feil i Microsofts IIS-serverprogramvare, sa Microsoft at den planlegger å lappe problemet.

Microsoft lanserte også en sikkerhetsrådgivning som beskriver Problem og detaljering av tekniske løsninger som systemadministratorer kan implementere mens de venter på en oppdatering. "Vi undersøker nå problemet … og jobber for å utvikle en sikkerhetsoppdatering," sa Microsoft i et notat på sitt nettsted. "Denne oppdateringen vil bli utgitt når den når et passende kvalitetsnivå for bred distribusjon."

Microsofts neste sett med sikkerhetsoppdateringer går ut 8. september. Det er ikke klart om selskapet vil kunne utvikle og teste sin IIS

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Angrepskoden ble publisert mandag av Nikolaos Rangos, som sa at han ikke varslet programvaren selskap av problemet i forkant av tiden. Rangos angrep anses å være svært pålitelig på IIS 5-systemer, og kan brukes til å kjøre uautorisert programvare på serveren.

Feilen ligger i FTP-filen (File Transfer Protocol) som brukes av IIS, og regnes som en kritisk problem for brukere av det eldre IIS 5-produktet. IIS 6-brukere er også berørt, men de er i redusert risiko på grunn av måten IIS 6 ble samlet på, sa Microsoft i sin rådgivning. "Dette fjerner ikke sikkerhetsproblemet, men gjør det vanskeligere å utnytte sikkerhetsproblemet."

Brukere som bruker den nyere IIS 7 eller som ikke kjører FTP-tjenesten, påvirkes ikke, sa Microsoft.

Selv for IIS 5 og 6 brukere, er det en annen formildende faktor: "Berørte systemer er ikke sårbare med mindre untrusted FTP-brukere får skriveadgang. Som standard blir ikke FTP-brukere gitt skrivetilgang," sa Microsoft.

Selv om ingen ennå har rapportert Virkelige angrep ved hjelp av Rangos kode, sikkerhetsleverandør Symantec sa tirsdag at "mange systemer vil være sårbare over Internett, og at det vil forekomme i det vanlige angrep."

Et annet sikkerhetsselskap, Secunia, satser feilen "moderat kritisk. "

Nettanalyseselskapet Netcraft regnet i fjor 2.8 millioner nettsteder som fortsatt bruker IIS 5-programvaren, men det er ikke klart hvor mange av dem som vil ha FTP-oppsettet som vil gjøre dem sårbare for dette angrepet.