Tiistai, 18.3.2003

Microsoftilta kriittinen Windows 2000 -palvelinpäivitys

Windows 2000 -käyttöjärjestelmän WebDAV-ominaisuudesta on löytynyt vakava haavoittuvuus. Kräkkerit voivat hyödyntää haavoittuvuutta lähettämällä IIS-webpalvelimelle erityisesti muotoillun HTTP-pyynnön, joka aiheuttaa palvelimella puskurin ylivuototilanteen. Ylivuodon seurauksena palvelin saattaa suorittaa esimerkiksi hyökkääjän palvelimelle ujuttaman koodinpätkän, jolloin seuraukset palvelimen toiminnan ja tietoturvan kannalta voivat olla erittäin vakavia.

Microsoft suosittelee haavoittuvuuden paikkaavan päivitystiedoston asentamista kaikkiin niihin Windows-palvelimiin, joissa käytetään HTTP-protokollan WebDAV-laajennusta.

Lue juttu oma, 18.3.2003 00:02. Lähde: Microsoft

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 6 uutta / 6 )

pistettä. Näytä vain kommentit joilla on vähintään

	Aukko tuli ilmi.. Anonyymi kommentoija, 18.3.2003 22:00:37	Pisteet: 0

http://mikropc.net/uutiset/

MicroPC.net:in mukaan aukko tuli ilmi, kun murtautujat pääsivät sen kauttaYhdysvaltain armeijan tietojärjestelmään. Yhdysvaltain armeijan mukaan palvelin ei sisältänyt salaista sotilastietoutta.

	Re: Aukko tuli ilmi.. feenix, 18.3.2003 22:18:23	Pisteet: 0

MicroPC.net:in mukaan aukko tuli ilmi, kun murtautujat pääsivät sen kauttaYhdysvaltain armeijan tietojärjestelmään. Yhdysvaltain armeijan mukaan palvelin ei sisältänyt salaista sotilastietoutta.

Olisin aika yllättynyt, jos USAn armeijalla olisi palvelin ulkoverkkoon kytkettynä, jossa olisi salaista sotilastietoutta. Täälläpäin sen sijaan firmat tunkevat salaisia tulostietojaan yms palvelimille ja sitten itkevät kun joku vahingossa löytää ne sieltä. Ei tarvita edes reikiä.

	jahas Anonyymi kommentoija, 18.3.2003 22:29:02	Pisteet: 0

meikäläisen /var/log/httpd/access_log filukka massivoituu tällähetkellä semmoista vauhtia, että huhhuijaa... parhaillaan joku 62-43-42-59.user.ono.com :sta yrittää käynnistää cmd.exe:ä.... :)
no tuosta logista ainakin näkee, kuinka yksinkertaista aukkoja on käyttää, kunhan ne ensin vaan keksitään...

Piruuttani tein vielä "default.ida" -nimisen scriptin joka vastaa crackki-pyyntöihin jotain kivaa sontaa. Toivoa sopii, että crackkääjien scannaussoftat menisi edes hiukan sekaisin... :)

	Re: jahas Anonyymi kommentoija, 19.3.2003 00:00:59	Pisteet: 0

meikäläisen /var/log/httpd/access_log filukka massivoituu tällähetkellä semmoista vauhtia, että huhhuijaa... parhaillaan joku 62-43-42-59.user.ono.com :sta yrittää käynnistää cmd.exe:ä.... :) no tuosta logista ainakin näkee, kuinka yksinkertaista aukkoja on käyttää, kunhan ne ensin vaan keksitään...
Piruuttani tein vielä "default.ida" -nimisen scriptin joka vastaa crackki-pyyntöihin jotain kivaa sontaa. Toivoa sopii, että crackkääjien scannaussoftat menisi edes hiukan sekaisin... :)

heh heh... Parempi olisi camouflashata palvelin näyttämään Apache serveriltä niin loppuu IIS exploit kokeilut kokonaan. Wannabe hakkerit aiheuttavat turhaa kuormaa, josta pääsee siis eroon ajelemalla IISLockDown työkalun, asentamalla ja conffaamalla sen 'tietyn' suodattimen.

	microsoft toimii! Anonyymi kommentoija, 19.3.2003 10:59:49	Pisteet: 0

Microsofts director of security assurance, Steve Lipner, confirmed that several customers were hit with the attack last week, but he refused to identify them.
Lipner said about 100 employees worked around the clock� last week, and through the weekend, to develop an emergency fix.

-- [ clip ] --

[microsoft.com]

What causes the vulnerability?

The vulnerability results because of an unchecked buffer in a component of Windows, Ntdll.dll, that can be called using WebDAV. By sending a specially constructed request through WebDAV, an attacker could cause code to run on a web server in the Local System security context.

-- [ clip ] --

[www.symantec.com]

WebDAV fails to perform sufficient bounds checking on this data, allowing a buffer to be overrun.

-- [ clip ] --

Eli ne lisäs koodiin "if (a > buffersize) break;". Katsotaas.. 100 tyontekijaa * 7 paivaa tekee about 16 800 tyotuntia.

"Tehokasta" ;)

	Re: microsoft toimii! feenix, 19.3.2003 11:12:24	Pisteet: 0

Eli ne lisäs koodiin "if (a > buffersize) break;". Katsotaas.. 100 tyontekijaa * 7 paivaa tekee about 16 800 tyotuntia. "Tehokasta" ;)

Et taida ymmärtää yhtään mitään ohjelmistokehityksestä ja korjausten tekemisestä? Jokainen paikka myös testataan MS:llä, joten siihenkin kuluu aikaa. Myöskin tuossa varmasti tarkistettiin enemmän koodia, kuin pari riviä, jos kerran löydettiin haavoittuvuus. Sinulle ehkä riittää pikapaikka yhteen kohtaan, monet muut haluavat tehdä asiat paremmin.

Sata työntekijää kuulostaa ehkä isolta, mutta uusien testien kehittäminen, niiden ajaminen, koodin tarkastaminen isolta osalta jne tarvitsee paljon väkeä. Varsinkin kun sitä koodia oli varmasti useassa modulissa, joten pari ihmistä ei tunne sitä, eikä ole kirjoittanut tai valvonut sitä. Joten on se parempi ottaa ne tietävät ihmiset kaikki mukaan.

Ja muuten, tuo haavoittuvuus ei ilmennyt koneissa, joissa oli URL-skanneri päällä. Miksi monilla ei ole?

Microsoftilta kriittinen Windows 2000 -palvelinpäivitys

Rsync-palvelinohjelmistossa vakava haavoittuvuus

Vakava haavoittuvuus Windowsin RPC-rajapinnassa

Haavoittuvuus Microsoft VM -virtuaalikoneessa

Microsoft IIS-ohjelmistosta löytyi uusi turva-aukko

Vakava tietoturva-aukko Windows 2000:ssa