IIS6に脆弱性発覚、認証突破されてうp、ダウソし放題に
1 : ストック(愛知県):
マイクロソフトのウエブサーバー、Internet Information Services 6(IIS 6)」には
データ流出を招く脆弱性があり直ぐに修正を加える必要性があることが12日までに複数のセキュリ
ティーベンダーの発表により明らかとなった。
この脆弱性はIIS6+WebDAVを同時に使用しており、かつ、文字コードとしてUnicodeを使っている
場合に生じるもので、この組み合わせの場合、IIS6は送信されてくるURLの中に「/(%c0%af)」という
文字列を内部的に「f」に変換(translate)してしまい結果的にパスワードによって保護されているフォルダーの
認証処理をバイパスされてしまいフォルダーに対して無断でアップロードしたり、ダウンロードしたりすることが
可能となるとしている。
今のところマイクロソフトからはこの脆弱性に対するワークアラウンドやパッチ等は提供されておらず、
この攻撃手法が広まった場合には、被害が拡大する恐れもある。
http://www.technobahn.com/cgi-bin/news/read2?f=200905192010
依頼612
|
|
|
GENO
3 : ミゾコウジュミチノクコザクラ(東京都):2009/05/19(火) 22:41:26.02 ID:zpFErThz BE:416448498-2BP(334)
すげー読みづらい文章だな
4 : オウレン(東京都):2009/05/19(火) 22:41:42.91 ID:HS4bbXsS BE:660643878-2BP(778)
オワタ
5 : モリシマアカシア(神奈川県):2009/05/19(火) 22:43:00.20 ID:Mv5tXqjk
なんだおれにはかんけーねえな
6 : ポレオニウム・ボレアレ(catv?):2009/05/19(火) 22:43:23.04 ID:cy+eoaZw
>場合に生じるもので、この組み合わせの場合、IIS6は送信されてくるURLの中に「/(%c0%af)」という
>文字列を内部的に「f」に変換(translate)してしまい結果的にパスワードによって保護されているフォルダーの
これは同種のバグが他にもありそう…
それよりも IIS で printf or scanf 系関数使っているのね
>文字列を内部的に「f」に変換(translate)してしまい結果的にパスワードによって保護されているフォルダーの
これは同種のバグが他にもありそう…
それよりも IIS で printf or scanf 系関数使っているのね
7 : ツメクサ(関西・北陸):2009/05/19(火) 22:44:49.07 ID:r6F37kHU
手法を事細かに書くソース先に親近感を覚えるな
8 : ペチュニア(dion軍):2009/05/19(火) 22:46:57.16 ID:95aF/PRe
クラック方法が提示された場合早く修正しないと
それでクラックされるという
それでクラックされるという
9 : マーガレット(関西):2009/05/19(火) 22:56:17.21 ID:ngnG79Cq
メシウマ
10 : オウレン(東京都):2009/05/19(火) 23:03:39.78 ID:HS4bbXsS
今夜あたり満喫で頑張ってる奴がいたら注意だな
11 : チューリップ(アラバマ州):2009/05/19(火) 23:05:45.86 ID:1n29kfYJ
apache2最高や!
12 : プリムラ・ダリアリカ(dion軍):2009/05/19(火) 23:06:20.31 ID:BjvwbTku
GENO進化のヒントか
13 : カラスノエンドウ(愛知県):2009/05/19(火) 23:06:48.75 ID:dCnDGgeR
14 : トウゴクミツバツツジ(関西地方):2009/05/19(火) 23:07:47.33 ID:+0Sh4mnD
はやくダウソツール作れよ
15 : カタバミ(広島県):2009/05/19(火) 23:11:20.67 ID:yqa3zGwd
>>13
てことはVC++標準ライブラリにバグ残ってるってこと?
てことはVC++標準ライブラリにバグ残ってるってこと?
16 : マリーゴールド(東京都):2009/05/19(火) 23:12:01.03 ID:Wx1CPiXh
げっマジかよ
17 : ヤマボウシ(神奈川県):2009/05/19(火) 23:13:11.81 ID:C+yi/ukZ
き・・・
18 : ヒナゲシ(静岡県):2009/05/19(火) 23:13:58.90 ID:O4fzTlvy
はいはい、きじゃく、きじゃく
19 : カンパニュラ・アーチェリー(新潟県):2009/05/19(火) 23:16:58.90 ID:J8BpsGoy
opera最強
20 : カラスノエンドウ(愛知県):2009/05/19(火) 23:17:25.59 ID:dCnDGgeR
WebDAVなんて有効にして鯖運用してるやつなんていんの?
22 : ハハコグサ(中部地方):2009/05/19(火) 23:19:51.54 ID:m1PIn3bY
Apacheで十分過ぎるだろ
IISなんて使ってるやつどれほどいるの?
IISなんて使ってるやつどれほどいるの?
23 : カタバミ(広島県):2009/05/19(火) 23:23:11.10 ID:yqa3zGwd
>>20
だからscanfは使っちゃダメって話なのか。
だからscanfは使っちゃダメって話なのか。
24 : チャボトウジュロ(アラバマ州):2009/05/19(火) 23:25:27.22 ID:DuQQgS0n
25 : カラスノエンドウ(愛知県):2009/05/19(火) 23:33:22.58 ID:dCnDGgeR
26 : 株価【5060】 ベニバナヤマボウシ(関東・甲信越):2009/05/19(火) 23:44:10.14 ID:DItDN6JA BE:117246252-2BP(100) 株優プチ(model)
XSSみたいなもん?
27 : マムシグサ(catv?):2009/05/19(火) 23:45:09.61 ID:gChuR7MM
でっていう
28 : ゲンカイツツジ(三重県):2009/05/19(火) 23:45:32.15 ID:XqTPKHyx
WebDAVってSubversionのリポジトリサーバーぶったてるときぐらいしか
使ったことないんだけどなんか有効な使い道があるの?
使ったことないんだけどなんか有効な使い道があるの?
29 : カンパニュラ・トメントサ(神奈川県):2009/05/19(火) 23:48:32.71 ID:hZfVi8/L
>>20
単純なバッファオーバーフローなら、いまどきコンパイルオプションとか、OSやハードの保護機能で防げるな
パフォーマンス重視の一部ソフト以外はコンパイルオプションで検出するようにすればいいとおもうけど、
なぜか使ってないのが多いんだよな
単純なバッファオーバーフローなら、いまどきコンパイルオプションとか、OSやハードの保護機能で防げるな
パフォーマンス重視の一部ソフト以外はコンパイルオプションで検出するようにすればいいとおもうけど、
なぜか使ってないのが多いんだよな
30 : ヒメオドリコソウ(東京都):2009/05/20(水) 05:33:05.51 ID:itG5SdwS
scanfって言っている奴は釣りなの?
snprintfなら分かるが、scanfはありえないだろ・・・
snprintfなら分かるが、scanfはありえないだろ・・・
31 : 藤(catv?):2009/05/20(水) 05:50:48.33 ID:1tSCKre5
32 : オキナワチドリ(東京都):2009/05/20(水) 05:56:05.80 ID:iHVu1VVr
33 : オンシジューム(山梨県):
シャアザクスレか