Azure Friday | Debug .NET Apps in Production with the Snapshot Debugger in Application Insights
Eines Tages, nachdem ein Sicherheitsforscher einen Angriffscode für einen Fehler in der Microsoft IIS-Serversoftware veröffentlicht hatte, erklärte Microsoft, das Problem zu patchern.
Microsoft veröffentlichte auch einen Sicherheitshinweis Problem und Detaillierung technischer Problemumgehungen, die Systemadministratoren implementieren können, während sie auf einen Patch warten. "Wir untersuchen derzeit das Problem … und arbeiten daran, ein Sicherheitsupdate zu entwickeln", sagte Microsoft in einem Hinweis auf seiner Website. "Dieses Update wird veröffentlicht, sobald es ein angemessenes Qualitätsniveau für eine breite Verbreitung erreicht hat."
Microsofts nächster Satz von Sicherheitspatches ist am 8. September fällig. Es ist nicht klar, ob das Unternehmen seinen IIS entwickeln und testen kann (Internet Information Services) jedoch rechtzeitig für dieses Update.
[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]Der Angriffscode wurde am Montag von Nikolaos Rangos veröffentlicht, der sagte, er habe die Software nicht benachrichtigt Unternehmen des Problems im Voraus. Rangos 'Angriff wird auf IIS 5-Systemen als sehr zuverlässig angesehen und könnte dazu verwendet werden, nicht autorisierte Software auf dem Server auszuführen.
Der Fehler liegt in der von IIS verwendeten FTP-Software (File Transfer Protocol) und wird als kritisch angesehen Problem für Benutzer des älteren IIS 5-Produkts. Betroffen sind auch Benutzer von IIS 6, die jedoch aufgrund der Art und Weise, wie IIS 6 kompiliert wurde, ein reduziertes Risiko aufweisen, so Microsoft in seinem Advisory. "Dadurch wird die Sicherheitsanfälligkeit nicht behoben, aber die Ausnutzung der Sicherheitsanfälligkeit wird erschwert."
Benutzer, die den neueren IIS 7 verwenden oder den FTP-Dienst nicht ausführen, sind davon nicht betroffen, sagte Microsoft.
Gerade Für Benutzer von IIS 5 und 6 gibt es noch einen anderen schadensbegrenzenden Faktor: "Betroffene Systeme sind nicht anfällig, es sei denn, nicht vertrauenswürdigen FTP-Benutzern wird Schreibzugriff gewährt. Standardmäßig erhalten FTP-Benutzer keinen Schreibzugriff", sagte Microsoft.
Obwohl noch niemand berichtet hat Real-World-Attacken mit Rangos-Code Der Sicherheitsanbieter Symantec sagte am Dienstag, dass "viele Systeme im Internet angreifbar sind und In-the-Wild-Angriffe stattfinden werden."
Secunia, ein anderes Sicherheitsunternehmen, bewertet den Fehler als "mäßig kritisch". "
Letzten Mai zählte die Webanalysefirma Netcraft 2,8 Millionen Websites, die immer noch die IIS 5-Software verwenden, aber es ist nicht klar, wie viele von ihnen die FTP-Einrichtung haben würden, die sie für diesen Angriff anfällig machen würde.
Ballmer: Azure bis Ende Jahr bereit zur Veröffentlichung
Microsoft plant, seine Windows Azure Cloud-Computing-Plattform noch vor Ende des Jahres zu veröffentlichen, sagte Microsoft-CEO Steve Ballmer am Dienstag.
Yahoo sucht nach Hadoop Boost mit Veröffentlichung der internen Version
Yahoo wird seine Hadoop-Implementierung veröffentlichen, in der Hoffnung, dass dies die Akzeptanz dieser Technologie verbessern wird
Das Gericht fordert die Zurückbehaltung von Namen vor der Veröffentlichung von Aaron Swartz-Aufzeichnungen
Ein US-Bundesgericht hat eine Schutzanordnung geändert die Gerichtsakten des Internet-Aktivisten Aaron Swartz, aber entschieden, dass Namen und andere persönliche identifizierende Informationen von denen, die an seiner Festnahme und Verfolgung beteiligt sind, sollten redigiert werden.