У панядзелак мы апублікавалі апавяшчэнне бяспекі для ўразлівасці ў Microsoft IIS. Уразлівасць у Microsoft IIS можа дазволіць зламысніку атрымаць доступ да некаторых дадзеных на серверы. Уразлівасці схільны IIS версій 5, 5.1 і 6.

Апісанне ўразлівасці:

Уразлівасць існуе з-за памылкі пры апрацоўцы WebDAV запытаў да дырэкторый, патрабаваным аўтэнтыфікацыю. Выдалены карыстач можа з дапамогай адмыслова сфармаванага HTTP GET запыту, утрымоўвальнага Unicode знакі і "Translate: f" HTTP загаловак, абыйсці абмежаванні бяспекі і, напрыклад, запампаваць файлы з абароненых каталогаў. Удалая эксплуатацыя ўразлівасці таксама можа дазволіць загрузку адвольных файлаў у абароненыя WebDAV каталогі.

Уразлівасці схільная толькі вызначаная канфігурацыя IIS. Спачатку мы пералічым канфігурацыі, якія не схільныя ўразлівасці:

• На IIS серверы не выкарыстоўваецца WebDAV. У Windows Server 2003 IIS (версія 6) WebDAV адключаны па змаўчанні.
• IIS сервер не выкарыстае IIS прывілеі для абмежавання доступу аўтэнтыфікаваным карыстачам
• IIS сервер не падае доступ да файлавай сістэмы для ўліковага запісу IUSR_[Імя сістэмы]
• IIS сервер, на якім знаходзяцца Web прыкладанні, выкарыстоўвалыя аўтэнтыфікацыю, заснаваную на формах

Уразлівай канфігурацыя лічыцца, калі :

• IIS 5, 5.1 або 6 выкарыстае WebDAV
• IIS сервер выкарыстае IIS прывілеі для абмежавання доступу да файлаў або каталогам для аўтэнтыфікаваных карыстачоў
• Доступ да файлавай сістэмы прадстаўлены ўліковага запісу IUSR_[Імя сістэмы]
• Бацькоўскі каталог для абароненай тэчкі дазволены для доступу ананімным карыстачам.

Калі налады вашага сервера адпавядаюць усім пунктам, пералічаным ва ўразлівай канфігурацыі, ананімны выдалены карыстач можа скарыстацца ўразлівасць для атрымання файлаў, якія звычайна даступныя толькі аўтэнтыфікаваным карыстачам.

Часавае рашэнне

Microsoft распрацавала некалькі варыянтаў па ўхіленні ўразлівасці, да вынахаду афіцыйнага выпраўлення.

Варыянт 1: Адключэнне WebDAV

Калі вы не выкарыстаеце WebDAV, то самым правільным варыянтам было бы яго адключэнне. Для таго, каб адключыць WebDAV неабходна выканаць наступныя дзеянні:

• Перайдзіце да ключа HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters
• Дадайце параметр:

Value name: DisableWebDAV
Data type: DWORD
Value data: 1

• Перазагрузіце IIS.

Больш падрабязна аб тым, як адключыць WebDAV можна прачытаць па адрасе:
http://support.microsoft.com/kb/241520

Варыянт 2: зменіце спісы кантролю доступу для забароны доступу для ўліковага запісу IUSR_[Імя сістэмы]

Не забывайце, што выкарыстоўваюцца 2 узроўня прывілеяў для файлаў, якія апрацоўваюцца IIS. Першае – карыстачу доступ павінен быць прадстаўлены файлавай сістэмай NTFS, і толькі пасля гэтага ажыццяўляецца праверка доступу ў метададзеных IIS. Калі вы забароніце доступ да сервера для ананімнага ўліковага запісу (IUSR_[Імя сістэмы]), зламыснік не зможа скарыстацца гэтай уразлівасцю. Больш падрабязна аб абмежаванні доступу можна прачытаць па адрасе:
http://support.microsoft.com/kb/271071

Варыянт 3: блакаванне доступу з дапамогай URLScan

URLScan можа прадухіліць спробы эксплуатацыі ўразлівасці. Больш падрабязна аб выкарыстанні URLScan можна прачытаць па адрасе:
http://technet.microsoft.com/en-us/security/cc242650.aspx

SecurityLab рэкамендуе скарыстацца адзін з прапанаваных рашэнняў для часавага ўхілення ўразлівасці да вынахаду афіцыйнага выпраўлення ад вытворцы.

рэкамендуем прачытаць таксама

• Microsoft паведамляе аб уразлівасці ў IIS 6
• Чарговая небяспечная ўразлівасць у Microsoft Windows
• Sun выпусціла Web-сервер з адчыненым кодам — Open Web Server
• Sun выпусціла Web-сервер з адчыненым кодам — Open Web Server
• АПОШНІЯ ДЗЮРЫ: Microsoft, Google і Winamp

Каментаванне не дазволенае.