Nieuws

Microsoft ontkent IIS-probleem

Microsoft ontkent dat er een nieuw lek zit in IIS 6. Volgens het softwarebedrijf valt de software te misleiden, maar ligt de schuld bij slecht beveiligde webservers.

IIS is een verzameling van serverdiensten voor Windows. Eind vorige week omschreef securityonderzoeker Soroush Dalili in een rapport het probleem als “zeer kritiek voor webapplicaties”.

Volgens het rapport kan IIS uitvoerbare extensies openen wanneer ze in een URL worden vermeld en worden gescheiden met een puntkomma. Dat terwijl er bij controle enkel naar de extensie op het einde wordt gekeken.

Zo zou een link naar het bestand infectie.asp;.jpg worden gedetecteerd als een fotobestand (JPEG), terwijl het wordt uitgevoerd als ASP (Active Server Page). Dat kan ervoor zorgen dat gebruikers een server hacken door een specifiek bestand te uploaden.

Volgens het rapport, dat tests uitvoerde bij populaire webapplicaties in de zomer van 2008, werd zeventig procent van de bestandsuploaders misleid met deze truc. Het probleem heeft wel alleen impact op IIS 6. Versie 7.5 heeft het probleem niet en versie 7 werd nog niet getest.

Slecht geconfigureerde webservers
In een blogbericht zegt Microsoft dat er binnen IIS een ongelijkmatigheid is in de afhandeling van puntkomma’s. Maar het voegt daaraan toe dat alleen onveilig uitgerolde webservers risico lopen.

“Als het scenario wil werken, moet de IIS-server reeds geconfigureerd zijn om zowel schrijf- als uitvoeringsrechten te hebben in dezelfde map. Dit is niet de standaardconfiguratie van IIS en gaat in tegen al onze normen.” Aldus het blogbericht.

Volgens Microsoft hoeven gebruikers die IIS 6 standaard gebruiken, of Microsofts aanbevolen instellingen volgen, zich geen zorgen te maken. Anderen kunnen het best controleren of er aanpassingen mogelijk zijn om de veiligheid te verbeteren.

beveiligingbusinessiisitprofessionalmicrosoftnieuwswebserver

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken