Neue Sicherheitslücke in Microsofts IIS aufgedeckt

Sicherheitslücken Microsofts Internet Information Services (IIS) verfügen über eine neu bekannt gewordene Sicherheitslücke, über die ein Angreifer Code in ein System einschleusen kann. Betroffen sind die Versionen 6 und niedriger. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Verlassen sich die Redmonder Qualitätsprodukte also auch hier nur ausschliesslich auf die Dateieindung und nicht auf den Header...
 
@tekstep: Du solltest evtl auch mal das kleingedruckte Lesen: Wenn jemand schon in soweit zugriff auf den Server hat, das er dort Dateien ablegen kann, hast du ganz andere Probleme als nur eine "falsche" Dateiendung.
 
@MS Master: Stichwort Dateiupload ? zB für ein Profilbild, Firmenlogo, Produktbild etc ....? Da muss man nicht sonderlich viel Aufwand betreiben um so eine Datei auf den Server zu bekommen.
 
@MS Master: Weisst du wieso es nur unter Windows Probleme mit falschen Dateiendungen gibt? Weil unter anderen Betriebssytemen die Files anhand des Headers indentifiziert werden...eine modifizierung ist praktisch ausgeschlossen. Deshalb ist es langsam echt lächerlich das sich der grösste Softwarekonzern immer noch nur auf Endungen verlässt. Einfach traurig.
 
@tekstep: das problem wird nur unglaublich übertrieben dargestellt... die einstellung ist per default deaktiviert, der admin muss im upload verzeichnis die ausführunge zulassen, alte IIS versionen und ist von der webapplikation abhängig (die parst ja die dateiendung). die frage die sich mir stellt ist vielmehr, ob sich die art von lücke auf andere webserver übertragen lässt, wenn man eben solche einstellungen auch vor nimmt und bspw. einem php script auch so die dateiendungen geparst und die datei auch ausgeführt wird. so versteh ich zumindest das problem (falls ich etwas falsch verstanden habe, bitte aufklären und bitte sich nicht nur anhand dieser news informieren). @tekstep unter linux wird afaik auch meistens bei den alltäglichen dateiformaten mit dateiendungen gearbeitet (musik, bilder, sourcedateien usw.).
 
@Reseller: ein upload ist das eine...die ausführungsrechte in dem entsprechenden verzeichniss das andere...wer gibt denn bitte in einem upload verzeichniss ausführungsrechte? das ist einfach nur fahrlässig dumm wenn das ein webmaster erlaubt. Von dem abgesehen müsste man diese rechte explizit aktivieren, da sie im iis standardmäsig deaktivert sind. Secunia kommt bei der einstufung der lücke im übrigen auf ein ähnliches ergebniss wie ms selbst und damit haben sie recht
 
@DevSibwarra: Falsch. Die Endungen unter Linux/Unix werden ausschlisslich nur dazu benötigt um sie, damit sie der User, sofern er in der Konsole arbeitet, gleich als solche identifizieren kann. Lösche mal z.b. das .txt oder .jpg oder sonst was weg... die Datei wird trotzdem mit dem korrekten Programm geöffnet werden u. jetzt probier das unter Windows...
 
@DevSibwarra: Stoppt Geschwafel: man file
 
@tekstep: das stimmt zwar, die lücke hat aber nichts mit den dateiendungen zu tun...auch kannst du unter windows keine executeable als .jpg tarnen, die jpg wird dann halt mit einem bildbetrachter geöffnet und nicht ausgeführt. Umgekehrt kann eine jpg nicht plötzlich ausgeführt werden wenn sie eine .exe endung hat....das mehr an sicherheit will mir nicht aufleuchten
 
Von mir auch nochmal Frohe Weihnachten, falls in anderen Ländern noch gefeiert wird, Österreich oder so, in Deutschland isses durch!
 
Typisch Microsoft
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen