Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Bron: Nu.nl

Uit onderzoek van de Automatiseringsgids is gebleken dat een groot aantal Nederlandse websites met Microsoft server software 'lek' zijn omdat serverbeheerders bekende exploits in de webserver niet hebben dichtgepatched:

Door het intikken van een 'opgerekte URL', zeg maar de naam van de internetsite, kwam de broncode op het scherm. Zo kon onder meer de site van Ohra, Wehkamp, Primafoon, Free Record Shop en PinkRoccade gekraakt worden. Bij Wehkamp was het zelfs mogelijk wachtwoorden te achterhalen.

Microsoft zegt dat het om een fout gaat, waarvan de oplossing al is verstuurd. Alleen hebben sommige bedrijven de extra informatie nog niet in hun computers verwerkt.

Zie dit artikel van Nu.nl voor het complete verhaaltje (thanks TgF voor de tip).

Moderatie-faq Wijzig weergave

Reacties (38)

31-3 is de patch gereleased. Bug found op 30 maart (david litchfield).

www.ntsecurity.net/go/load.asp?iD=/security/iis4-7.htm

Het gaat overigens alleen fout bij sites met index server of indexing services AAN EN de .htw extensie nog enabled op de virtual root.

Wel grappig om te lezen dat sommige mensen er echt helemaal NIETS van begrijpen. 'M$ moet G33n bugs releasuh!'... of anderzinds gedreutel van zelfde strekking.... Elke software heeft bugs. Het is nu vrijdag, de patch hadden ze er meteen op kunnen zetten als systeembeheerder. Iedereen kan een abonnement nemen op de security alerter van MS zelf of die van ntmagazine, en je krijgt alles in je mailbox zonder naar sites te hoeven kruipen om te checken OF er exploits zijn.

Dat dit niet gedaan is, geeft aan in hoeverre de sitebeheerders met hun vak bezig zijn. Maar goed, ze weten er zo te zienn nauwelijks MINDER van af dan het gros blerende kinderen hier. Grow up. Security is iets dat nooit stopt en je moet je altijd bewust zijn van een flaw/exploit/bug/whatever dat je security omver kan werpen. De leverancier van de software heeft in deze een verplichting IMHO om een fix te leveren, wat bij MS binnen 24 uur ook gebeurt in zake security gevoelige issues.

Voor mensen die vinden dat het toch nog aan MS ligt: kijk eens op www.securityfocus.com (bugtraq), en huiver in hoeveel spul backdoors/flaws/vulnerabilities zitten. :)
Wat me stoort aan het artikel in de automatiseringsgids (dit is echt het laatste jaar dat ik er op geabonneerd ben, het is TE conservatief voor woorden), is dat het op de VOORPAGINA opent met 'NT-server sites zo lek als een mandje'. Dan een of andere 'specialist' aan het woord laat HOE de bug uit te buiten, een stukje over de sites die niet zijn gepatcht en 10% van het stukje is ingeruimd voor MS' verklarinkje, en GEEN WOORD OVER DE PATCH WAAR DIE TE VINDEN IS.
<br>

<br>
Zulke stemmingmakerij en debieliteit legt ZDNet zelfs niet aan de dag zeg... allemachtig. Als ik dit lees in het NRC, dan kan het voorkomen dat de journalist daar met een computer thuis ('de internet specialist'), die het stukje schreef, niet weet waar de patch te halen valt, maar een automatiseringsblad, waar je ook nog 80 piek of meer voor moet betalen per jaar...
<br>

<br>
(ik gebruik hem nooit, maar ik ga um er gewoon tussengooien: :r )
<br>

<br>
......
Tsja, Microsoft moet niet lullen en gewoon voor minder beveiligingslekken in geleverde software zorgen.
Als je het artikel in de autom. gids leest staat er ook dat het in principe de schuld is van de bedrijven zelf omdat ze niet wisten dat er een lek was.
Zeker een bedrijf als Wehkamp zou dat moeten weten.
Die systeembeheerder werkt daar ook niet lang meer

De fix voor dit probleem is overigens al te downloaden op de site van MS

Voor diegene die wilden weten wat de lange URL was waarmee je achter de passwords kon komen, hier komt ie (Werkt niet meer)

www.wehkamp.nl /null.htw?CiWebHitsFile=/global.asa%20&CiRestriction=none&CiHiliteType=Full
slechte zaak van microsoft....
een zaak schaft software aan omdat het een naam heeft (bv stabiel,veilig ect).Ook al dat de oplossing is gemaakt is dit niet goed....
M$ moet inderdaad niet lullen maareh....kan je je zelf een systeembeheerder noemen als je de webserver software in de defeault config laat? Ik vind van niet, het zelfde was er aan de hand met ms sql en creditcard betalingen, daarbij was het zo dat de systeembeheerders van de lekke sites de default admin accounts + wachtwwoord niet hadden veranderd/disabled....
Ik ben zelf nou niet echt dol op IIS, maar dit is dus gewoon stommigheid. Als er securitypatches uitkomen, en je bent een beetje systeembeheerder, dan installeer je die toch? Anders ben je het gewoon niet waard om sysadmin te mogen spelen.

Als ik op een willekeurige UNIX http-server alle bestanden 'chmod 777' omdat dat zo makkelijk is, dan kan ik ook problemen verwachten. Niet Apache is dan lek, maar dan ben ik gewoon een sukkel.

Met de komst van Windows servers verdwijnt de echte kennis, en komen er mensen voor in de plaats die alleen maar op 'ok' en 'cancel' knopjes kunnen drukken. Ja, logisch dat dat ooit fout gaat.
Tja, behalve de bug op zich dan, kan M$ er deze keer toch niets aan doen. Zij hebben op tijd de patch geleverd, als de klanten daar niets mee doen, is het eigen schuld. Hmm, eens kijken... draait die WOL site niet ook M$? }>
Lol...

Kijk, dit krijg nu met 'lekker makkelijke software'...

Iedere janboerenkloothommel kan nu een dergelijke site opzetten, zonder dat men voor de rest verstand heeft van zaken. En dan heb ik voornamelijk over dingen zoals beveiliging.

Als gevolg hiervan vertrouwen mensen het Internet steeds minder en is de kans groter dat E-commerce e.d. niet zal aanslaan... :r

Magoed... Geef die server'beheerders' eens ongelijk: Microsoft brengt zoveel losse patches en updates uit dat je door de bomen het bos niet meer ziet... :)
</div><div class=b4> Met de komst van Windows servers verdwijnt de echte kennis, en komen er mensen voor in de plaats die alleen maar op 'ok' en 'cancel' knopjes kunnen drukken. Ja, logisch dat dat ooit fout gaat. </div><div class=b1>

De echte kennis verdwijnt, maar gaat ergens heen waar ze meer geld kunnen verdienen, die gasten die op deze site's beheerder zijn/waren (ik hoop het laatste) mogen zich gewoon géén systeembeheerder noemen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True