サポート切れの「IIS 6」でリモートから任意のコードが実行できるという脆弱性が発見される 17
ストーリー by hylom
まだまだユーザーは存在するそうで 部門より
まだまだユーザーは存在するそうで 部門より
すでにサポートが終了しているWindows XPおよびWindows Server 2003に搭載されているIIS 6.0に、新たな脆弱性が発見された。IIS 6.0のサポートも両OSとともに終了しているが、未だにこれらを利用しているサイトがあり、それを狙った攻撃も行われているという(ZDNet Japan、実証コード、TREND MICROの脆弱性情報、CVE-2017-7269)。
今回発覚した問題は、IIS 6.0のWebDAV関連機能にバッファオーバーフローを引き起こす脆弱性があるというもの。攻撃者は「If: http://」という文字列で始まる長いヘッダとともにPROPFINDリクエストを送信することで、任意のコードを実行できるという。この脆弱性を狙った攻撃は2016年7月~8月ごろから存在していたとされている。すでにIIS 6.0のサポートは終了しているため、この脆弱性が修正される見込みはない。もっとも有効な対策はサポートの切れたOSやIIS 6.0の使用を止めることだろう。
対外的に公開してるサイトは死んでいいと思う (スコア:1)
社内イントラとかなら兎も角、外向けでIIS6.0使ったサイトを公開してるようなタコはこのタイミングに攻撃受けまくって死んでおけばいいんじゃね?
Windows Server 2003なんて1年半以上前にサポート終了してるし、後継バージョンが出たのが2008年初頭、もう9年以上前だ。
そんだけの間放置してるような奴はここでくたばっていいと思う。
# 尚、たとえばApache HTTP Serverで言えば2.0と2.2の間ぐらいの製品で、2.0はとっくに打ちきられてるし、2.2もレガシー扱いだ
# Microsoftがタコいとかプロプラソフトだから駄目とかそういう話ではなく、単純にその時代からソフト更改してないユーザーの問題
攻撃で死ぬとは限らない (スコア:3)
今回のは、DoSじゃなくて任意コード実行だから、攻撃受けると何か変な物になるだけで、死ぬとは限らないよ。
外部公開だとマルウェア配布サイトになってたり、botのCCサーバになってたりするかも知れない。
しかも、多分設置者が放置したままだから、それを知るものは仕掛けた奴だけ。
サポート切れのシステムをDoSで確実に殺せるなら「死ねば良い」で済むけど、そうじゃないから嫌らしい。
事前に知って勝手に殺したら不正アクセスになる訳だし。
-- Buy It When You Found It --
Re: (スコア:0)
そうか! じゃぁ自分だけのバックドアを設置してパッチを当てておこう
Re: (スコア:0)
社会的に死ぬって意味じゃないかな?
Re: (スコア:0)
まあ、金融系でStruts使い続ける奴と同じですな。
Re: (スコア:0)
枯れたバージョンのほうが安心だぜ!って人種ですね
Re: (スコア:0)
保守的、安全志向なことと何もしないことを同一視している人種ですよね
Re: (スコア:0)
脆弱性のあるOpenSSLを使っていて
ダウングレードをSIerから提案されて鵜呑みにする通信事業者と同じですね
Re: (スコア:0)
この手のやつらは更改も後悔もしないくせに公開するのだぜ
# きっと死んでも治らない
Re: (スコア:0)
次は無償で使えるらしいぜイエーイとか言いながらcentosかOpenSuseを採用する。その次は無償製品はクソだなとか言いながらRHELかIISあたりを採用する。その次は無償で使えるらしいぜいえー…
どうせ今のシステム構成で粘るだろうからIIS6の更新は当分先だろうけど。
Re: (スコア:0)
デフォルト無効どころかIISをデフォルトインストールしてもインストール自体されてないWebDAVを有効にして外向きに運用してる奴いるのかね?
Re: (スコア:0)
「何が必要かよくわからないからオプション全部いれとこ」って奴ほど放置したりするもんだ
Re: (スコア:0)
「動いてるものを下手に弄るな」と言われたので最初から全部動かしました
Re: (スコア:0)
そんなん言い出したら、狙われて落とされるサーバは死んどきゃいいだけだわな
Re:ケツ毛ガンダムのプレゼント (スコア:0)
今回のような過去の遺産でメンテされてないサービスを保護する場合
UTM機能つきファイアウォールの中には、今回の脆弱性にも
対応しているIPSにより防御は可能になります。
何がすごいって (スコア:0)
> IIS 6を稼働させている旧式のサーバがいまだに60万台以上存在しており、
まじかよ
IIS6は優秀だったんだなぁ・・・ (スコア:0)
と、今さらながら思った。
IIS5以下は速やかに市場から消えたし、そんなものの後継なんて誰が信用するんだ?と当時は思ったもんだけど、
よもや10年以上生き残ろうとは・・・・・。