IISにまた重大なバッファオーバフロー 8
ストーリー by Oliver
ばきゅーん 部門より
ばきゅーん 部門より
Kow 曰く,"ZDNetの記事によるとマイクロソフトは18日に、WindowsNT/2000/XPβで動作するすべてのバージョンのIISにデフォルト設定で使用した場合に存在するセキュリティホールがあることをホームページで警告した。このセキュリティホールを突かれると、浸入者はOSの『システムレベルアクセス』を取得出来るらしい。マイクロソフトは18日に対応パッチをリリースし、すぐにあてるように呼びかけているが、果たして何人の管理者がこれを見落とすことだろうか。"
ISAPIのひとつとしてデフォルトでインストールされる検索サービスのDLLでのバッファオーバフローらしいのだが、IISに限らず余計なものをデフォルトでインストールされたまま放置しているケースがすごく多そうだ。
日本語はこちら (スコア:2, 参考になる)
今回は比較的早めに翻訳が出たような。気のせいかな?
/.configure;oddmake;oddmake install
.idq (スコア:1)
いいんだよね。このまえの.printerもそうだし。
そういえば、埼玉県の頁が3か月ほど前に書き換えられたときに見にいったら、使ってましたね。サンプルのまま! IISからアパッチに変えたみたいだけど、ずっとIIssampleのリンクは残っていた。
今はなまずだけど。
いやMSはそれで安心してたら… (スコア:1)
何かするたびに(しなくても)常にMS製品の挙動を監視してるなら大丈夫ですけど。
あ、そんなことは管理者の常識かな?
/.configure;oddmake;oddmake install
Re:いやMSはそれで安心してたら… (スコア:1)
ところで、MMCはIIS4,5のどちらでも表示、変更ができるのですが、アプリケーションマッピングの動詞の記述が逆なんですね。
一方は、除外するもの例えばPOSTを書くのですが、他方は、利用するもの例えばGETを書くんですね。
まったくふざけた仕様変更だ!
なーんかイヤな感じの (スコア:1)
まぁ、セキュリティ屋さんはふさぐべき穴がつぎつぎ現れればそれで商売できますからね。
MSさまさまってわけですな。
「オープンソースソフトより対応が早い」って?単に隠してあったのがバレただけでしょうに。
Re:なーんかイヤな感じの (スコア:1)
当たり前の対応速度にしか見えないんだけどな...
隠しておいたのがバレたってのもありそうだけど
もう少し前に発見してたけど
まともなパッチが提供できるまで隠しておいて
出来たらすぐに穴を発表して
直後にパッチをご提供とか言うシナリオも有りそう
もちろんドキュメントも準備万端てことで
そうしないと、Exchangeのような事態に...
(-: MixTUchanel :-)
NTだと保険料もUP! (スコア:1)
「顧客がサーバーで『UNIX』や『リナックス』でなくウィンドウズNTを使っている場合、保険料を最大15%増しにする」そうな。
保険会社も同じ保険料じゃやってられないのね。