Tietoturva nyt!

28.12.2009

Microsoft IIS -ohjelmistoon on tulossa korjaus

Microsoftin mukaan IIS-ohjelmistosta löydettyä, tiedostonimien käsittelyyn liittyvää heikkoutta ei ole käytetty aktiivisesti hyväksi. Microsoft tutkii haavoittuvuutta ja julkaissee korjauksen lähiaikojen ohjelmistopäivitysten yhteydessä. Käytettävissä olevien tietojen perusteella IIS-ohjelmiston versio 6 on haavoittuva, mutta versio 7.5 ei sitä olisi.

Haavoittuvuuden avulla hyökkääjä voi ajaa ohjelmakoodiaan kohteena olevalla IIS-palvelimella jos palvelimen ylläpitäjä on sallinut tiedostojen suorittamisen siinä palvelimen hakemistossa, johon tiedostoja siirretään. Hyökkäys tapahtuu siirtämällä palvelimelle suoritettava tiedosto, jonka nimi on esimerkiksi muotoa

evil.asp;.jpg

Kun hyökkääjä lataa palvelimelta sinne siirtämänsä, yllä esitetyllä tavalla kuvaksi naamioidun ohjelmatiedoston, IIS suorittaa sen ASP.DLL-kirjaston avulla. Tavallisia käyttäjän palvelimelle lataamia tiedostoja voivat olla esimerkiksi keskustelupalstojen henkilökohtaiset avatar-kuvat tai kuvagallerioihin talletettavat kuvat.

Kansioissa, joihin käyttäjät voivat siirtää tiedostoja, ei tulisi olla ohjelmien suoritusoikeuksia. Lisäksi sovellusten tulisi tarkistaa palvelimelle siirrettävien tiedostojen nimet ja estää muiden kuin turvallisesti nimettyjen tiedostojen siirtäminen. Tarpeettoman laajat oikeudet www-palvelinten julkisissa kansioissa ovat yleinen tapa murtautua www-palvelimelle.

Lisätietoa

• MSRC:n blogikirjoitus haavoittuvuudesta
• CERT-FI haavoittuvuustiedote 132/2009
  

Microsoftin sivuilta löytyviä englanninkielisiä ohjeita

• IIS 6.0 Security Best Practices
• Securing Sites with Web Site Permissions
• IIS 6.0 Operations Guide
• Improving Web Application Security: Threats and Countermeasures
  

Sivua päivitetty 28.12.2009

Tulostusversio