Webové servery na Windows 2000 v ohrožení

Kritická záplata na Windows 2000 opravuje chybu ve WebDAV, která umožňuje útočníkům spustit libovolný kód na počítači. Na internetu již kolují kódy pro zneužití této chyby.
Protokol WebDAV (World Wide Web Distributed Authoring and Versioning) slouží k editaci dokumentů a správě souborů přes rozšíření běžného protokolu HTTP. Jedna z komponent Windows využívající WebDAV obsahuje neošetřený buffer, který může útočník zneužít a spustit svůj vlastní kód. Útočníkovi stačí zadat vhodně formulovaný http požadavek na server a jeho kód se může spustit v kontextu webového serveru IIS, tedy obvykle LocalSystem s vysokými právy. Protože požadavek je normální http přes port 80, ve chvíli, kdy tam běží IIS a WebDAV zapnutý, je tento server zranitelný. WebDAV je implicitně zapnutý při instalaci IIS 5.0, je ale velmi doporučováno jej vypnout, pokud jej nepotřebujete. V jeho implementaci byly již problémy v minulosti, takže preventivní opatrnost je na místě.

Záplata je určená pouze pro Windows 2000, starší ani novější systémy s tím problém nemají. Microsoft ale mimo samotné záplaty uvádí i řadu různých možností, jak problém vyřešit bez instalace nějakých záplat či programů na server. Doporučuje například omezení bufferu pro URL na menší délku pomocí změny v registrech.

Příslušný Security Bulletin byl vydán včera večer, instalace záplaty je vřele doporučována. Přesně toto je totiž typ děr, které jsou snadno a účinně zneužitelné červy. I v případě, že máte zdánlivě z venku nedostupný web server (třeba za firemním firewallem), je oprava důležitá. Už několikrát se ukázalo, že červi dokáží proniknout i za tuto zdánlivě bezpečnou hranici.

Diskuze (112) Další článek: CeBIT 2003: Blu-ray u Panasonicu

Témata článku: Microsoft, Windows, Servery, Ohrožení, Opatrnost, Firemní firewall


Určitě si přečtěte

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 66

Nejlepší notebooky do 20 000 Kč: Tipy, co se teď vyplatí koupit

Nejlepší notebooky do 20 000 Kč: Tipy, co se teď vyplatí koupit

** Za dvacet tisíc korun lze pořídit kvalitní pracovní notebook ** Stejně tak může jít o herní notebook s výkonnější grafikou ** Poradíme, jaké notebooky vybrat pro různé druhy použití

Stanislav Janů | 55

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 39

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 75