Zagrożenia i podatności
Podatność w IIS
Soroush Dalili wykrył podatność w Microsoft Internet Information Services (IIS), za pomocą której możliwe jest wykonanie szkodliwego kodu na serwerach WWW korzystających z usług IIS.
Błąd polega na sposobie interpretacji przez IIS plików z wieloma rozszerzeniami rozdzielonych średnikiem np. file.asp;.jpg. W tym przypadku zostanie wykonany plik będący w rzeczywistości instrukcjami ASP, a nie plikiem graficznym.
Podatne wersje:
Problem dotyczy IIS w wersji 6 oraz starszych wydań.
Rozwiązanie:
Do czasu ukazania się odpowiedniej łaty webmasterzy powinni blokować wykonywanie kodu w katalogach Upload przez przypisywanie losowej nazwy każdemu uploadowanemu plikowi od użytkowników.
Źródło:
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
http://blogs.technet.com/msrc/archive...eports-of-a-vulnerability-in-iis.aspx
