Windows Server: Microsoft warnt vor Sicherheitslücke

Sicherheitslücken Microsoft hat eine Warnmeldung veröffentlicht, in der auf eine neu entdeckte Sicherheitslücke im Windows Server hingewiesen wird. Die Details rund um dieses Problem sind bereits an die Öffentlichkeit gelangt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Existiert die Sicherheitslücke im Windows Server oder nur im IIS? Wenn nur im IIS wäre ja auch Vista/XP in einigen Editionen betroffen und besser wäre dann "IIS: Microsoft warnt vor Sicherheitslücke".
 
@raketenhund: Probier es doch einfach aus, das ist denkbar einfach und eine solche Art der Lücke ist ohnehin bereits seit 2001 bekannt: http://www.heise.de/newsticker/Sicherheitsluecke-in-IIS-6-0__/meldung/137967
 
@Fusselbär: Vista nicht da der schon den IIS7 habt, und Server 2008 demnach auch nicht
 
@raketenhund: der webserver von xp hat kein WebDAV
 
"Ein Patch soll im Rahmen des monatlichen Patch-Days zur Verfügung gestellt werden. Sollte es die Situation erfordern, könnte das Update aber auch außerhalb des üblichen Release-Zyklus verbreitet werden. " Warum wird ein Patch, wenn eine Lücke schon bekannt ist, nicht einfach so herausgegeben? Der Patch würde damit noch 3 Wochen dauern. Unglaublich.
 
@aprender: Evtl. sind neustarts an den Servern notwendig. Mit dem Patch-Day haben die Administratoren einen festgelegten Zeitplan, wann der Server kurz down ist und man kann sich darauf einstellen. Würde das Update einfach irgendwann herauskommen, könnte es zu einer ungewollten Downtime während Arbeits-/Präsenzzeiten kommen. [EDIT] Außerdem findet man unter http://www.microsoft.com/technet/security/advisory/971492.mspx ==> "Suggested Actions" ==> "Workarounds" ==> "Change file system ACLs to deny access to the anonymous user account" eine Möglichkeit trotz aktiviertem WebDAV die Sicherheit bis zum Patch-Day zu gewährleisten.
 
@aprender: In den allermeisten Situationen sollte die Lücke nicht zum Problem werden. 1. Wird sie derzeit nicht ausgenutzt, 2. betrifft sie WebDAV, welches die wenigsten User am Internet hängen oder überhaupt aktiviert haben dürften und 3. Kann man sich per Workaround selber helfen. Ich finde da kann man ruhig bis zum Patchday warten.
 
@DennisMoore: Zitat Heise: "Üblicherweise ist WebDAV laut Hersteller nach der Installation des IIS aktiviert, nur bei der Installation der Version 6.0 auf Windows Server 2003 ist die Funktion abgeschaltet." Quelle: http://tinyurl.com/olj6nb
 
@Fusselbär: Ich weiß ja nicht wie du das handhabst, aber ich aktiviere immer nur die Dienste die ich auch brauche. Und ich gehe mal davon aus, dass das Administratoren die Verantwortung für ein Firmennetz haben auch so machen.
 
@DennisMoore: Der Punkt ist aber, das der IIS auch auf den Desktop Windows Versionen zu finden ist und auf den Desktop Windows Versionen das Motto eher lauten muss: alle Dienste abschalten, die nicht wirklich unbedingt gebraucht werden, den per default ist alles erstmal aktiv, bei den Windows Desktop Systemen. Das da ein Internet Server unter der Desktop Kiste unbemerkt läuft, dürfte vielen Benutzern völlig unklar sein. Und per default ist ja nach Herstellerangabe die Konfiguration genau so, das die Kiste angreifbar sein könnte.
 
Ich kann die Leute nur bedauern, die diesen IIS einsetzen und das ganze dann noch auf einem Windows Server. Es hat schon einen Grund, warum die meisten Webserver auf LAMP Systemen basieren. Für unwissende und verblendete Kiddies: LAMP = Linux Apache MySQL PHP. Der Grund heißt "Sicherheit", denn Microsoft und Sicherheit sind wie Feuer und Wasser.
 
@kfedder: falsch, bitte keine scheisse labern.
@Minusklickerspassten: Iss einfach so. Es kommt auf die Konfiguration an. Man kann sowohl einen Linux Webserver so "verkonfigurieren", dass er vollkommen offen ist, genauso wie es möglich ist Windows iis-basierte Serversysteme abzusichern.
 
@kfedder: I hope you like it: http://tinyurl.com/2kb7fo
 
@loedl: Man merkt, das du ein verblendeter M$ Fanatiker bist, denn du hast von der Realität keine Ahnung. Größte Sicherheitslücke beim IIS ist ja wohl ActiveX. Und wenn man dann noch mit ASP entwickelt, welches ja zu 100% auf ActiveX basiert, dann hat man verloren. Fakt ist nur einmal, das Windows Webserver grundsätzlich durch Firewalls auf Linuxbasis geschützt werden. Anders können solche Webserver im Internet nicht geschützt werden. Noch ein Punkt, der mich an Windows Servern stört. Wozu benötigt ein Server eine resourcen- und performancefressende GUI? Und wenn ich mir dann noch dieses lächerliche "Remote Desktop" Konzept bei Windows anschaue, dann wird mir schlecht. Damit kann man nämlich ohne Probleme die Netzwerkperformance in die Knie zwingen. Wenn ich ein Remote Desktop System verwenden müsste, dann nur ein X-Windows System. Dieses System läßt sich sogar mit einer einfachen 56k Modemverbindung verwenden, da dieses Konzept keine Grafiken überträgt, sondern nur Kommandos. Deshalb wird hier auch nur eine geringe Bandbreite benötigt. Mein Fazit: bei Microsoft merkt man an allen Ecken und Enden die völlige Konzeptlosigkeit. Microsoft sollte sich veilleicht mal nur auf den Windows Desktop Bereich konzentrieren und versuchen hier ein wirklich ausgereiftes Produkt auf den Markt zu bringen, anstatt Produkte zu entwickeln, von denen M$ keine Ahnung hat (Serverbereich, Developmentbereich,...). Diese Produkte strotzen ja nur vor Unfähigkeit.
 
@kfedder: Eigentlich lasse ich ja jedem seine Meinung, aber verblendeter MS-Fanatiker,dazu muss ich natürlich was sagen. Ok, du hast das um 4 Uhr in der Früh geschrieben, also sei es dir verziehen. :O Ne,im Ernst, MS-Fanatiker bin ich sicher keiner, bleibe aber bei meiner Meinung (welche ja nicht zwingender Weise auch deine sein muss). Klar werden oft IIS-Server gehackt, aber hier ist öfter die Konfiguration schuld als das System selbst und oft stellen sich solche IIS-Server als völlig ungepatched heraus. Das Server häufig von Linux-basierten Firewalls geschützt werden ist richtig. Aber komm alles von ms als schlecht zu bezeichnen, dieser Trend iss doch einfach nur unter aller Sau. Auf dass du nun ruhig schläfst und dich nicht mehr spät nachts über MS aufregst. :-P
 
@loedl: Erst denken, dann labern. Sorry, man merkt, du hast von Softwareentwicklung und Serversystemen keinen blassen schimmer. Der IIS ist und bleibt der unsicherste Webserver. M$ sollte sich wirklich lieber auf die Entwicklung einer stabilen und vernünftigen Desktopversion von Windows konzentrieren, anstatt solchen Müll wie den IIS auf den Markt zu bringen. Den Mist, den M$ mittlerweile produziert, den findet sogar Bill Gates nicht gut und ich kann ihn voll und ganz verstehen. Wenn M$ mit völliger Konzeptlosigkeit so weiter macht, wird in 5 Jahren nicht mehr viel von diesem Verein übrig bleiben. M$ ruht sich im Moment auf den Lorbeeren von Bill Gates aus. Aber, was passiert, wenn man sich auf Lorbeeren ausruht, das hat man in den 90ern bei der Firma "Commodore" gesehen. Gleiches kann auch M$ passieren, wenn man weiter so ohne jegliches Konzept seine Kunden vera...
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen