IIS 5.0/5.1/6.0に未対策の脆弱性発覚 23
ストーリー by hylom
IIS6以下でのでのWebDAVに注意 部門より
IIS6以下でのでのWebDAVに注意 部門より
あるAnonymous Coward 曰く、
マイクロソフトが、インターネットインフォメーションサービス(IIS)に存在する可能性のある新たな脆弱性についてのセキュリティ アドバイザリを発表した。
対象となるのはWindows 2000およびXP、Server 2003に搭載されているIIS 5.0/5.1/6.0で、Windows VistaおよびServer 2008のIIS 7.0についてはこの脆弱性は確認されていないとのこと。この脆弱性は、WebDAV拡張がリクエストされたURLを正しくデコードしないことが原因で起こります。そのため、リクエストを処理する際にWebDAVが誤った構成を適用します。適用された構成が匿名アクセスを許可した場合、悪質なリクエストが認証を回避します。
とのことで、この脆弱性を突くことで認証なしにサーバーにファイルをアップロードしたり、アクセスに認証が必要なファイルに対して認証なしでアクセスが可能になる可能性がある。
マイクロソフトはこの問題を修正するパッチを提供する予定とのことだが、パッチが提供されるまではWebDAVを無効にする、ファイルシステムのACL設定を変更して匿名ユーザーによるアクセスを拒否する、といった対策が推奨されている。
既に悪用されている可能性があるらしい (スコア:1, 参考になる)
IISサーバの脆弱性を狙った攻撃、米大学で発生か [zdnet.com]
Re:既に悪用されている可能性があるらしい (スコア:1, 参考になる)
Re: (スコア:0)
喜ぶべきなのか?別の脆弱性を突いていたら余計たちが悪い
実証コードが公開されていますから (スコア:2, 参考になる)
Microsoft に認識はなくとも、実証コードは公開されていますから、喜ぶべきではないでしょう。
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Vulnerability [milw0rm.org]
# 特設ページで紙パック製品を注文したら、こっちのストーリーの存在を忘れたのでID
モデレータは基本役立たずなの気にしてないよ
IIS 関連、追加の実証コード (スコア:3, 参考になる)
今後も攻撃が広がる予感がしますね。:-)
2009-05-22 Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (php) [milw0rm.org] 1780
2009-05-21 Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (patch) [milw0rm.org] 4573
前回、動画へリンク忘れたのでこちらも。
2009-05-20 IIS WebDAV Vulnerability in Action [milw0rm.org] 2743
モデレータは基本役立たずなの気にしてないよ
さらに IIS 関連、追加の実証コード (スコア:1)
2009-05-26 Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (pl) [milw0rm.org] 2879
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
で、こっちにはなんとなく悪意 [srad.jp]は感じないのですか?
そもそも論 (スコア:1)
IISなんて使わないよ普通って何が普通?(自爆)
Aaron Rashid
脆弱性 (スコア:0)
Re: (スコア:0)
「これはIE6以前を使用しているユーザーをIE7以降にバージョンアップさせようとする、M$の陰謀なんだよ!」
「な、なんだってー?!」
#お約束。
間違えた (スコア:0)
元AC
>これはIE6以前を使用している
うお、間違えた。 orz
IISだったのね。脆弱性の枕詞と言えばIEだとばかり。
愛が無い奴だなぁ (スコア:0)
Re: (スコア:0)
>ISSにしろ
スタートレック見てる場合じゃないな
Re: (スコア:0)
つーか (スコア:0)
WebDAVってあんまり普及してなくね?
レンタルサーバとかいまだにFTPばっかりだし。
Re:つーか (スコア:2, 興味深い)
特定のサーバとクライアントの組み合わせなら問題なく動くんだけど、
その組み合わせをちょっと外すと、途端に動かなくなる。
その点、FTPだと文字コードとLISTの問題さえ回避できればほとんど
問題なく繋がるんで。。。
Re: (スコア:0)
これね。 [2ch.net]
個人的には、近年のMSの代表的な悪行だと思う。
新しいプロトコルをでっち上げながら、真面目に実装しなかった。
結局、携わる人々が混乱しただけで、ちっとも普及しなかった。
挙げ句の果てにはVistaで捨てた。
MSは何らかの意図があって、最初からwebDAVを真面目に実装する気はなかったんじゃないのか?とさえ思いたくなる。
Re:つーか (スコア:1)
WebDAVってマイクロソフトが作ったんでしたよね。
どうしてSkyDriveに採用しないのかなー? 使い勝手がいいし、WindowsエクスプローラやOSXのFinder等々サポートしてるクライアントも多いのに。
あんまり便利に使われると困るから?(^^;)
Re:つーか (スコア:1, 参考になる)
>WebDAVってマイクロソフトが作ったんでしたよね。
RFC2518 [nic.ad.jp]によればネットスケープとノベルも参加していますね。
apache [stackasterisk.jp]とかtomcat [atmarkit.co.jp]での設定方法、IIS [xing.xrea.jp]はこちら。
MSによるWebDAV での Web オーサリング [microsoft.com]がまとまってます。
Re: (スコア:0)
Subversionも元はWebDAVベースだったっけな。
そもそも (スコア:0)
匿名アクセス可能なIISでWebDAVなんて有効にするかね?
Re: (スコア:0)
通常が「匿名アクセス可能」で「WebDAV」有効なのですよ:D
IISLockdown [microsoft.com]してないIISなんて滅んじゃえばいいんだ。