Puntkommalek plaagt Microsoft IIS webserver

Gepubliceerd: Maandag 28 december 2009

Er zit een kwetsbaarheid in Microsoft's webserver IIS 6.0 en mogelijk ook 7.0, die volgens de ontdekker zeer kritiek is. Microsoft zelf denkt dat het wel meevalt.

Toon volledig artikel

lodi op Maandag 28 December 2009 11:16

Als je beveiliging serieus neemt kun je hier bijna geen last van hebben.
Bij afbeeldingen controleer ik altijd of het echt een afbeelding is (met aspjpeg.) En m'n beschrijfbare directory's hebben geen uitvoer/scriptrechten.

6 / 10

Thomas Lobker op Maandag 28 December 2009 14:17

Inderdaad, en als je een extensie wilt controleren dan kijk je naar de laatste 4 karakters (inclusief de punt) in plaats van alleen maar de laatste 3 karakters.

If Right(Filename, 4) = ".jpg" Then AllowExtension = True

-1 / 1

batlequeen op Maandag 28 December 2009 17:42

Ik kijk in mijn software nog niet eens naar de extensie, maar naar het mime-type
Je kan het rustig whatever.jpg noemen, maar als ik niet het mimetype image/jpg krijg kan je het vergeten

0 / 0

Anonymous Coward op Dinsdag 29 December 2009 16:59

Het mimetype bij uploads wordt door de browser (dus user) geleverd. Dat kun je dus niet vertrouwen.

Apache heeft in veel configuraties een vergelijkbaar probleem. Door Apache worden bestanden met dubbele extensies (bijvoorbeeld exploit.php.jpg) uitgevoerd. Dit is overigens een Apache feature, geen bug.

Wat betreft het controleren van de header; waarom zou dit voldoende zijn? Een valide plaatje kan zeker informatie bevatten die door een interpreter (JRE (GIFAR), FLASH of PHP) kan worden uitgevoerd.

0 / 0

anonymous_118315 op Maandag 28 December 2009 23:10

Met jouw truc loop je nog steeds kans dat de aanvalscode binnen komt door ipv 'aanvalscode.asp;jpg' de code 'aanvalscode.asp;.jpg' te gebruiken.

Wat mij betreft blijft de enige veilige methode het daadwerkelijk controleren van de header van een bestand, beginnend met the magic number. En niet meer data accepteren dan de header aangeeft (of wat logischerwijs mogelijk is).

0 / 0

Blieb op Maandag 28 December 2009 11:45

Secunia geeft dit een less critical rating (2/5).
Ik begrijp niet de titel van dit artikel. Hoe kan een dergelijk minder belangrijk probleem een plaag vormen voor een webserver ?

-5 / 7

anonymous_118315 op Maandag 28 December 2009 12:14

Iets wat al meer dan anderhalf jaar aanwezig is en in meerdere versies zit kan zeker plagen. Net als een neusverkoudheid is het misschien een minder belangrijk probleem, maar het kan je wel langdurig plagen.

4 / 8

Fly op Maandag 28 December 2009 12:37

Microsoft denkt altijd "dat het wel meevalt".
Als groot software bedrijf lijkt me dat toch een verkeerde houding. ALs er een lek is dicht het dan ASAP. en niet maanden later.

4 / 8

plep op Maandag 28 December 2009 12:47

En de ontdekker vind het altijd "zeer kritiek" want dan krijgt die de volle aandacht.

Een wat minder subjectieve partij zoals Beveiligingsbedrijf Secunia vind het ook niet kritiek. Dus (in dit geval) lijkt Microsoft gelijk te hebben.

7 / 9

linus4ever op Maandag 28 December 2009 13:06

Microsoft denkt altijd "dat het wel meevalt".

Of ze het ook echt denken weet ik niet, ze doen in ieder geval wel altijd alsof.

Volgens de softwaremaker heeft Dalili geen verantwoorde bekendmaking (responsible disclosure) gepraktiseerd door het niet eerst aan Microsoft zelf te melden.

Shoot the messenger if you don't like the message. Het enige wat ze nu doen is zeuren, dralen en traineren. Ze lossen de problemen niet op en denken alleen aan zichzelf. Denk aan de lekken in Windows XP die ze niet meer repareren "omdat het te moeilijk is".

Ik voel wel wat voor een nieuwe wet op closed source software. De leverancier van een product dat bij herhaling met ernstige veiligheids issues te maken heeft moet de broncode van dat product vrijgeven. Dan kan de Open Source community er eens met een frisse blik naar kijken en de dieperliggende problemen oplossen.

-8 / 16

gooz op Maandag 28 December 2009 22:10

Tja, als de bron code tenminste een beetje leesbaar is. Gezien de diverse perikelen rondom patches lijkt het me dat de code meer een bord spaghetti is dat al 30 jaar op het aanrecht staat uit te drogen.

Elke keer (versie) een scheut heet water erop en paar gehaktballetjes erbij en het ziet er weer appetijtelijk uit.

Zo ook weer met Windows 7. De spaghetti-code is echter al heel erg lang over de houdbaarheidsdatum heen...

3 / 5

Bladerunner op Maandag 28 December 2009 23:25

Ja en dan is elk sliertje een IF-THEN.
Het is veel gemakkelijker een patch te maken (een pleistertje voor de wonde) dan de code gedeeltelijk te herschrijven zodat deze (weer) overzichtelijk wordt.

-2 / 2

Trash op Woensdag 30 December 2009 02:03

Klinkt wel grappig natuurlijk maar ik denk dat ze daar in Redmond niet echt blij mee zullen zijn. Als die spaghetti sowieso te ontwarren is denk ik dat ons nog een paar verrassingen te wachten staan!

0 / 0

mspartner op Maandag 28 December 2009 13:31

Of ze het ook echt denken weet ik niet, ze doen in ieder geval wel altijd alsof.
Als er echt iets aan de hand is, dan onthouden ze zich meestal van commentaar. Als ze hardop stellen dat het meevalt, dan is dat meestal ook zo.

Het enige wat ze nu doen is zeuren, dralen en traineren. Ze lossen de problemen niet op en denken alleen aan zichzelf. Denk aan de lekken in Windows XP die ze niet meer repareren "omdat het te moeilijk is".
Integendeel, de meeste andere software leveranciers zouden een voordbeeld kunnen nemen aan Microsoft:
- Ze leveren nog steeds updates op een bijna 9 jaar oud OS
- Zelfs illegale gebruikers krijgen de kritieke updates
- Microsoft updates en service packs zijn gratis
- Ze nemen security serieus en hebben producten als XP gedurende de levensloop op vele vlakken veiliger en beter gemaakt

Maar natuurlijk willen ze ook wat verdienen en willen ze dat mensen een keer naar een nieuwe versie overgaan. Dat mag ook wel na 9 jaar.
Ook moeten ze updates heel goed testen voordat ze het de wereld in slingeren; één foutje kan desastreuze gevolgen hebben en dat weten ze heel goed.

3 / 7

Kickass op Maandag 28 December 2009 14:51

Wat ik ervaren heb half jaartje geleden is:
Dat als ik hier op Vista 64bit bv IIS6 deinstalleer en bv recente Apache installeer, dat windows dan een limiet op bandbreedte geeft aan Apache. Dit was voor mij niet te omzeilen. Mogelijk dat het in toekomstige release opgelost is, maar bv video streamen gaat lastig met Apache op Win Vista/7 machine.
Mogelijk dat M$ dit bewust doet om zo te zeggen dat IIS beter is.
Dan ben ik dus geforceerd Apache op Linux te gebruiken op diezelfde computer.

En natuurlijk geeft M$ aan dat het meevalt, gevalletje wij van wc eend.
En in hoeverre is Secunia neutraal. Veel beveiligingsbedrijven hebben belangen bij het onveilige OS. Da's logisch(marketing), dus neem die info met hele dikke korrel zout.