Sicherheitslücken

02.09.2009 08:46

Microsoft will Lücke im FTP-Dienst schnell schließen

Sicherheitslücken Nachdem wir gestern über eine Sicherheitslücke in Microsofts Internet Informationen Services (IIS) berichteten, hat der Konzern angekündigt, bereits an der Behebung des Problems zu arbeiten. Demnach ist die Sicherheitslücke bereits bekannt.

Microsoft veröffentlichte auch ein Security Advisory, in dem vor der Lücke im Zusammenhang mit dem FTP-Dienst gewarnt wird. Administratoren erhalten dort detailierte Informationen, wie sie Vorsichtsmaßnahmen treffen, bis ein Patch zur Verfügung steht. Ob dieser noch rechtzeitig zum Patch-Day am 8. September fertiggestellt werden kann, ist nicht bekannt. Microsoft will das Update erst dann freigeben, wenn es ausführlich getestet wurde.


Der Autor "Kingcope" schreibt in seinem Beitrag auf der Mailingliste "Full Disclosure", dass die Versionen 5 und 6 der Internet Informationen Services (IIS) betroffen sind. Der Quellcode des Exploits wurde in einer PDF-Datei veröffentlicht und enthält speziell auf Windows 2000 zugeschnittenen Shellcode. Mit Hilfe eines anonymen Logins stellt man eine Verbindung zum FTP-Server her, auf dem mit dem Kommando MKD zwei Verzeichnisse angelegt werden. Die Sicherheitslücke steckt dann im Kommando NLST, mit dem der Inhalt eines Verzeichnisses dargestellt werden kann.

Server-Admnistratoren sollten den FTP-Login auf vertrauenswürdige Nutzer beschränken, um vorerst auf der sicheren Seite zu sein. Microsoft reagierte auf die aktuelle Bedrohung sehr schnell. Laut dem Autor des Exploit-Codes nahm er vorab keinen Kontakt mit Microsoft auf, sondern veröffentlichte die Details sofort.

Michael Diestelberg

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] derberliner06 am 02.09.09 09:02 Uhr
(-10
LOL... wäre ja auch schlimm wenn die nichts dagegen machen würde... schade ist nur das die nicht so schnell wie die Jungs von Linux, da hatte es letztes nicht mal ne Woche gedauert bis der Fehler im Kernel behoben wurde. Linux = kostenlos = schnelle Fehlerbehebung, Windows = teuer = langsame Fehlerbehebung... Also wenn die Software schon Geld kostet, dann sollte diese wenigstens ordentlich und schnell gepflegt werden.
Bearbeitet am 02.09.09 um 10:09 Uhr.
 
[re:1] patrick_sc... am 02.09.09 09:04 Uhr
 
@derberliner06: Die haben ja auch nichts anderes zu tun... Oder denkst du da sind die Entwickler bei MS den ganzen Tag nur am warten bis sie einen Bug beheben dürfen? Deswegen wird doch ein Bug erst behoben, wenn dieser öffentlich gemacht wird, weil wenn keiner außer MS davon weiß, geht keine Gefahr aus.
 
[re:2] derberliner06 am 02.09.09 09:10 Uhr
(-7
@patrick_schnell: Davon weiß keiner außer Microsoft und allen die regelmäßig IT News im Internet lesen... aber wenn du Keiner bist... Die Leute die an Linux mit entwickeln sind in der Regel privat Leute wie du und ich, die aber was besseres als Windows wollen und daher oft Ihre Freizeit opfern... Ich denke schon das die eigentlich was besseres vorhaben, nur soll deren OS halt besser sein, daher setzten Sie sich mehr ein. Ich könnte mir auch gut vorstellen das der ein oder andere auch Interesse hätte den Fehler selbst zu beheben, nur da WinzigWeich (Microsoft) seinen Quellcode nicht offen legt, sind den Leuten die Hände gebunden so das Sie darauf angewiesen sind so lange zu warten bis bei Microsoft jemand in der Lage ist den Fehler zu behen.
 
[re:3] patrick_sc... am 02.09.09 09:30 Uhr
(+2
@derberliner06: Ja das ist ja auch Microsofts gutes Recht, schließlich investieren sie Milliarden in ihr Produkt. Und klar bei Linux sind es hauptsächlich Privat-Leute (obwohl diejenigen die am Kernel arbeiten, dass sind doch nur wenige oder? Und das auch unter Führung von Linus Torvalds). Ich habe nichts gegen Linux, ich setze es für Server usw. auch ein, aber es ist nunmal kein wirkliches "Produkt"... es ist für mich eher eine Programmsammlung wenn ich das mal so überspitzt beschreibe.
 
[re:4] DennisMoore am 02.09.09 09:42 Uhr
 
@derberliner06: Naja, so einfach kannst du es dir dann auch nicht machen. Wenn man mal alle Entwickler von allen Projekten die so in einem Linux vom Kaliber eines Windows-Servers vorkommen zusammenzählt und sie gegen die Mitarbeiter bei Microsoft stellt, die für Windows Server zuständig sind, wird man feststellen das da ein gewaltiges Ungleichgewicht herrscht. Da ist es kein Wunder das die Reaktion auf Sicherheitshinweise manchmal unterschiedlich ausfällt.
Bearbeitet am 02.09.09 um 09:43 Uhr.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Beliebte Downloads

Weitere Downloads

Verwandte Videos

Beliebt im Preisvergleich

Sicherheit & Backup Preisvergleich

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Michael Diestelberg

Redakteur bei WinFuture

Ich empfehle ...
Michael Diestelberg

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
[Update] Windows 7 (64-Bit-Version) & Apple Safari: Details zur Schwachstelle 23.12.2011
Microsoft-Sicherheitsupdates im Dezember 14.12.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.