Webové servery na Windows 2000 v ohrožení

Kritická záplata na Windows 2000 opravuje chybu ve WebDAV, která umožňuje útočníkům spustit libovolný kód na počítači. Na internetu již kolují kódy pro zneužití této chyby.
Protokol WebDAV (World Wide Web Distributed Authoring and Versioning) slouží k editaci dokumentů a správě souborů přes rozšíření běžného protokolu HTTP. Jedna z komponent Windows využívající WebDAV obsahuje neošetřený buffer, který může útočník zneužít a spustit svůj vlastní kód. Útočníkovi stačí zadat vhodně formulovaný http požadavek na server a jeho kód se může spustit v kontextu webového serveru IIS, tedy obvykle LocalSystem s vysokými právy. Protože požadavek je normální http přes port 80, ve chvíli, kdy tam běží IIS a WebDAV zapnutý, je tento server zranitelný. WebDAV je implicitně zapnutý při instalaci IIS 5.0, je ale velmi doporučováno jej vypnout, pokud jej nepotřebujete. V jeho implementaci byly již problémy v minulosti, takže preventivní opatrnost je na místě.

Záplata je určená pouze pro Windows 2000, starší ani novější systémy s tím problém nemají. Microsoft ale mimo samotné záplaty uvádí i řadu různých možností, jak problém vyřešit bez instalace nějakých záplat či programů na server. Doporučuje například omezení bufferu pro URL na menší délku pomocí změny v registrech.

Příslušný Security Bulletin byl vydán včera večer, instalace záplaty je vřele doporučována. Přesně toto je totiž typ děr, které jsou snadno a účinně zneužitelné červy. I v případě, že máte zdánlivě z venku nedostupný web server (třeba za firemním firewallem), je oprava důležitá. Už několikrát se ukázalo, že červi dokáží proniknout i za tuto zdánlivě bezpečnou hranici.

Diskuze (112) Další článek: CeBIT 2003: Blu-ray u Panasonicu

Témata článku: Microsoft, Windows, Servery, Opatrnost, Firemní firewall, Ohrožení


Určitě si přečtěte

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

** Vědci spočítali, jak velká by musela být posádka pro vícegenerační let k nejbližší hvězdné soustavě ** Proxima Centauri se nachází 4,3 světelných let od nás ** Za současných technologií bychom k ní letěli 6300 let

Petr Kubala | 52

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 65

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji