Ernstig beveiligingsgat in Microsoft IIS gevonden

Beveiligingsexperts hebben een erstig gat gevonden in Microsoft Indexing Server, een onderdeel van de webserver software van het bedrijf. Dit pakket maakt standaard deel uit van Windows 2000 en XP, maar kan ook op andere versies van Windows draaien. Door een buffer overflow te veroorzaken kan een kwaadwillend figuur code uitvoeren op zijn doelwit. Indexing Server hoeft daarvoor niet eens aan te staan, het aanwezig zijn van een bepaalde .dll is al voldoende. Het operating systeem voert de illegaal ingebrachte code tot overmaat van ramp op het allerhoogste niveau met de meeste rechten uit, waardoor de aanvaller volledige controle over een systeem kan krijgen.

Volgens schattingen en gegevens van NetCraft zijn ongeveer drie miljoen websites kwestbaar. Er is voor zover bekend nog geen exploit voor de bug geschreven, maar dat kan volgens de ontdekkers, die de fout een ernstigheids-factor van 11 geven op een schaal van 1 tot 10, nooit veel langer dan twee dagen duren. Microsoft heeft daarom gisteren een patch uitgebracht en raadt iedereen aan deze zo snel mogelijk te installeren:

Chris Rouland, director of the X-force research team at software and consulting company International Security Systems, agreed that systems administrators need to act quickly.

"Until the attacks become real, it's just a vulnerability," he said Monday. "But I'm sure hackers are writing exploits for this right now. I'd expect we'd see them in the next 48 hours.

"Systems administrators need to look at applying patches tonight or at the most over the next day or two."

Lees meer bij WebWereld, ZDNet en natuurlijk Microsoft.

Lees meer

Reacties (75)

paella 19 juni 2001 14:08

Het enige "goede" aan dit soort (bijna) dreigende taal, is dat mensen het erg serieus nemen en gaan patchen. Al zou een goede webserver manager dat altijd natuurlijk doen.

ThE_ED @paella • 19 juni 2001 14:11

Het verleden leert echter dat vele Admins gewoon lekker niet patchen...

Ik vraag me af of dit het begin is van weer een hele reeks ge-defacete websites etc.

mOrPhie @ThE_ED • 19 juni 2001 21:48

De reden waarom er niet meteen gepatcht wordt komt door het doodsimpele feit, dat die patches ook wel is fouten hebben... Het zal niet de eerste keer zijn in ieder geval.
Neem laatst de patch die was uitgebracht voor Micorsoft Exchange 2000. Deze patch was maar liefst 11 MB groot! Admins gingen netjes patchen, startte de PC opnieuw op (omdat ze qchain nog niet hadden ontdekt) en gevolg was dat compleet Exchange niet meer wilde starten.

2 dagen later werd de patch weggehaald, en er werd een juiste neergezet. maar ondertussen waarom talloze admins en bedrijven al de Dupe.

Sja, dan kun je dreigende taal uitspreken, maar na dit soort acties, kan ik patches toch niet 100% meer serieus nemen hoor.

enter.nu 19 juni 2001 14:25

De patch is in iedergeval kleiner dan de Service Packs

Hoewel deze patch al verwerkt is in SP3, zoals blijkt uit de naamgeving: Q300972_W2K_SP3_x86_en.EXE

<edit>Typo's</edit>

Eguan @enter.nu • 19 juni 2001 15:01

Zo gaat MS altijd te werk.

Q300972_W2K_SP3_x86_en.EXE geeft aan dat ie ook verwerkt zal worden in SP3. Het is dus niet zo dat MS deze fout al wist en hem al klaar had staan voor SP3, anders hadden ze zelf al eerder alarm geslagen.

Zelf heb ik alle Werkstations, Servers gepatched van SP2 tot deze patch. Nu maar wachten op SP3, maar eerst nog op een heleboel patches vrees ik

Verwijderd 19 juni 2001 14:06

En lees meer bij The Register:

http://www.theregister.co.uk/content/4/19794.html

packman 19 juni 2001 20:22

Tsja, een kameraad werkt bij ubizen ( http://www.ubizen.com ). Die leven van het feit dat er bugs in IIS zitten. Als die even demonstreerd wat voor bloopers er daar inzitten schijt de hele directie van een bedrijf in hun broek, en is het contract binnen de 5min getekend.

Waarom is dit trouwens nieuws? Dit hoort toch beter thuis in de meukentracker? Bij IIS lijkt dit de laatste tijd dagelijkse kost. No flame intended, maar dit is echt wel erg de laatste tijd. De laatste 2 maanden zijn al 5 serieuze bugs in IIS gevonden (zie http://www.securityfocus.com )

raptorix @packman • 20 juni 2001 09:09

Yup, ze mogen dan wel commentaar hebben op IIS bij ubizen.com maar hun eigen website in onbereikbaar, tjah, zo wordt je natuurlijk nooit gehackt

Verwijderd 19 juni 2001 14:11

Men moet gewoon de .ida en .idx ISAPI extensies weg knikkeren. Dan hoef je ook geen patch te installeren. Tenzij je natuurlijk gebruik maakt van de .ida en .idx extensies; maar kan me niet voorstellen dat veel bedrijven hier gebruik van maken.
Ook de .printer ISAPI extensie kun je ook weg doen want wie wil zijn printer nu met de rest van de wereld delen? Handig hoor om een document op een printer in Amerika uit te printen, heb ik altijd al willen doen. Wie bedenkt zulke features...

blaatenator @Verwijderd • 19 juni 2001 14:24

Lui die zulke features bedenken hebben een visie. Wereldwijde connectiveit. Men wil steeds meer functionaliteit in een webbrowser integreren, omdat dit een simpele bediening heeft, en niet platform afhankelijk is (of zou moeten zijn). Voor centralized computing, wat weer terugkomt, is dit idiaal. En waarom een printer op afstand (over Internet) beschikbaar maken? Misschien wil een centraal kantoor wel van alle belangrijke documenten een hard-copy hebben. Dan kun je natuurlijk het bestand via ftp, e-mail oid oversturen, en daar door iemand laten uitprinten, maar hiermee sla je weer een stap over, meer efficentie, en dat zien bedrijven graag.
Er is btw al een tijdje een werkgroep bezig met het ontwikkelen van het Printing over IP protocol, dus MS zal niet de enige zijn die dit funtioneel vind.

Verwijderd @Verwijderd • 19 juni 2001 15:07

Handig hoor om een document op een printer in Amerika uit te printen, heb ik altijd al willen doen.

Jij faxt nooit?

Anyway, I get your point.. It's a good point.

FirstStop @Verwijderd • 19 juni 2001 15:50

Ooit wel eens gehoord van IntTRAnet? daar kan je dus ook je printers op een zeer eenvoudige manier beschikbaar stellen om het e.e.a. af te drukken.

Er zijn al behoorlijk wat bedrijven die hun network resources beschikbaar stellen via websites/ftp e.d. gewoon omdat alles via de internet explorer (die je toch bij je windows versie erbij krijgt) makkelijk en visueel prettig bereikbaar is.

Bijkomend voordeel: de medewerkers van je berdrijf kunnen ook van thuis of waar dan ook hun documenten afdrukken. Toch best wel handig niet?
Ik kan nog wel even door gaan met voorbeelden noemen (o ja, webmail a la Hotmail, maar dan via MS Exchange en IIS, overal je email van je bedrijf beschikbaar) maar ik denk wel dat jullie begrijpen wat ik bedoel

Qman 19 juni 2001 14:07

Tsja, het wordt zo langzamerhand niet leuk meer, al die patches, updates, security holes... Het is elke keer weer zo'n gedoe...

Nou weet ik uit ervaring best dat het onhaalbaar is om in een keer een 'onfeilbaar'produkt op de markt te brengen, maar een beetje zorgvuldiger zou toch wel mogen, nietwaar?

Verwijderd @Qman • 19 juni 2001 14:39

In principe heb je gelijk, maar er kunnen zóveel fouten zitten in 300.000 regels code zonder dat er een error optreedt, dat het niet te doen is om alles 100% na te lopen... Bovendien denk je vaak al niet eens aan wat er mogelijk zou kunnen gebeuren met een bepaald gedeelte van de code. De kans dat je dit soort dingen fouten als je je software naloopt vindt is m.i. vrijwel nihil.

jp @Verwijderd • 19 juni 2001 14:56

een bufferoverflow is te voorkomen (in c++) door inplaats van strcpy een strncpy te gebruiken, want je weet toch hoe groot de array is waar je het in schrijft. (Als je dat niet weet ben je zowiezo fout bezig.)

Gewoon kwestie van netjes programmeren. Ook bij 300K regels code.

pling @jp • 19 juni 2001 18:21

Ja hoor of dit de enige statements zijn die dit kunnen veroorzaken... Dit is gelul, als het zo simpel was dan waren die fouten echt niet voorgekomen.

MrEdge_ @jp • 19 juni 2001 21:02

Ik weet niet of je wel eens microsoft code van dichtbij hebt gezien maar daar komt echt geen strcopy aan te pas hoor.Bufferoverflows kunnen op tal van manieren ontstaan en dit soort fouten worden pas (te)laat ontdekt omdat er nog zo enorm veel andere fouten zijn die veel eerder aan het licht komen dat het zaakje al lang gereleased is voordat het wordt ontdekt.
Daarvoor hebben ze dan ook de term maintenance uitgevonden. Het feit dat de patch al klaar ligt zegt wel genoeg.

Verwijderd @jp • 20 juni 2001 12:24

[/offtopic]
fyi: strcpy wordt gebruikt wanneer je niet weet hoe groot die string is (deze moet null-terminated zijn). Er wordt dynamisch geheugen voor vrijgemaakt ipv een array te gebruiken.
[/offtopic]

Verwijderd @jp • 21 juni 2001 09:55

[url="http://www.openbsd.org..."]http://www.openbsd.org...[/url] erg simpel dus.

zomertje @Verwijderd • 19 juni 2001 19:02

Is het ook niet een geldkwestie??? testen kost tijd, tijd == geld

RCJ80 @zomertje • 20 juni 2001 10:02

dus het leven is duur?

Verwijderd @Qman • 20 juni 2001 13:15

Het zou inderdaad wel wat zorgvuldiger mogen, MS laat hier gewoonweg té veel steekjes vallen.

Ik moet echter wel zeggen dat de ernst van deze bug nog al overdreven wordt. Het is volgens mij zo dat er(correct me if I'm wrong), in het geval van een buffer overflow, op de stack geschreven gaat worden, als er dan programmacode op de stack gegooit wordt en als die code dan uitgevoerd wordt dán is er inderdaad een probleem. Maar de kans hierop is nogal klein...

Maar al met al... het zijn wel fouten waar makkelijk rekening mee gehouden kan worden

Verwijderd @Verwijderd • 21 juni 2001 10:07

I will correct you. Het gaat hier dus juist om een manier om van data die iemand opstuurt uitvoerbare code te maken.

De data wordt normaal gesproken op de stack gezet en geanalyseerd door het programma. Het programma kan dan besluiten om iets te doen (webpagina terugsturen ofzo). Nu echter komt de data in een stuk van het geheugen waar alleen maar uitvoerbare data (programmacode) in hoort. Deze data _blijft_ staan in het stuk van het geheugen dat uitvoerbare code bevat. Vervolgens maak je wat data die zorgt dat het stuk geheugen wat jij net naar wens hebt aangepast wordt uitgevoerd. Dit zou bijvoorbeeld een procedure kunnen zijn (waarvan jij een deel hebt aangepast) die wordt aangeroepen tijdens een POST van 'n html pagina (ff voorbeeld...).

boner @Qman • 19 juni 2001 15:10

Ik ben het eens dat er veel zorgvuldiger met de code moet worden omgesprongen.

Neem echter 2 dingen ook in ogenschouw.
1 De internet markt is dusdanig overspannen dat elke afdeling tot het maximale gepushed wordt om zo snel mogelijk producten op te markt te meppen dat zorgvuldogheid lastig is. Ben je te laat dan begint iedereen weer te zeiken over de logge progammeer afdeling.

2 Heel internet is aan het loeren op een gaatje in de MS producten. Het is en blijft dus een beetje Goliath tegen veel davidjes. Logisch dat er relatief veel wordt gevonden. Als je het aantal bugs/holes in relatie gaat brengen tot het aantal hackers en dat voor MS en andere fabrikanten zal het er waarschijnlijk voor MS beter uitzien dan op het eerste oog lijkt.

maar ja een fout is en blijft vaudt

Confusion @Qman • 19 juni 2001 17:09

Dit hoeft dus niet meer te zijn dan het installeren van een nieuwe .dll. Zoals omdat verder hieronder schreef: even de buffersize vastleggen en je bent er. Als admins te belabberd zijn om nieuwe DLL's te installeren, dan is het eind zoek.

machiel 19 juni 2001 14:28

Microsoft Indexing Server

??
Microsoft Internet Information Services. Toch?

Arthur @machiel • 19 juni 2001 14:40

De Indexing Server is een onderdeel van IIS (Internation Information Services).

Het gat zit dus in de Indexing Server van IIS

blaatenator @machiel • 19 juni 2001 14:40

Indexing service is een onderdeel van IIS. Zoals de naam al doet vermoeden is het een soort zoekmachine.

edit:

laat maar, iemand was me voor

[Shadow] @machiel • 19 juni 2001 14:44

Microsoft Indexing Server, een onderdeel van de webserver software van het bedrijf

Beter lezen...

winand 19 juni 2001 23:28

Kan iemand mij een directe link geven naar die patchfile? Als ik de hier gegeven link volg, kom ik op een scherm van ms uit. Als ik daar voor windows 2000 kies, hangt mijn browser (IE5.5) !!
Hoe krijg ik nu ooit die patch te pakken !?

Verwijderd @winand • 20 juni 2001 00:12

Kijk eens op http://www.microsoft.com/technet/security/bulletin/M S01-033.asp en op http://www.eeye.com/html/Research/Advisories/AD20010 618.html

Cookie 19 juni 2001 14:19

Ik heb W2k SP2 NL, maar als ik naar Windows Update ga, krijg ik geen nieuwe downloads te zien. Alleen nog steeds Mediaplayer 7

Ganymedus @Cookie • 19 juni 2001 14:31

Ik snap niet dat jij SP2 al kunt hebben, iedere keer als ik voor een update vraag krijg ik windows heel trots in beeld met de opmerking, Service Pack 1 is nu beschikbaar. Dus waar heb jij dan Service Pack 2 vandaan?

VlasBaard @Ganymedus • 19 juni 2001 14:52

Sommige mensen hebben Windows in het Engels omdat daar patches tenminste snel voor uitkomen en Nederlandse Windows eigenlijk ook gewoon irritant is.

DeTeraarist @Ganymedus • 19 juni 2001 14:58

Misschien effe kijken bij de Software Updates?

Daar staat ie volgens mij al een tijdje hoor.

edit:

Wel de goeie link kopieren natuurlijk!

Verwijderd @Ganymedus • 19 juni 2001 15:11

Hij is gewoon te downen van M$.com

Verwijderd @Ganymedus • 19 juni 2001 14:56

dat komt waarschijnlijk omdat je explorer ingesteld staat op Nederlands... Als je hem op Engels zet krijg je wat nieuwere updates te zien...

Wildfire

@Ganymedus • 19 juni 2001 15:05

Erg simpel hoor: http://www.microsoft.com/windows2000/downloads/servi cepacks/sp2/default.asp

Zit gewoon nog niet in Windows Update verwerkt... de sukkels!

Verwijderd 19 juni 2001 14:09

Weer een bug die toch wel erg exploiterg is. Gelijk die patch maar hier gedraait. Just to be safe >

Maar dit soort 'bugs' mag je eigenlijk niet tegen komen in zulk soort software.

Aaargh! @.oisyn • 19 juni 2001 14:38

Mensen maken fouten, en bij een commercieel bedrijf als MS waar een product op tijd af moet is de kans op fouten door de tijdsdruk nu eenmaal groter dan b.v. bij een project als b.v. Apache, waar het af is als het af is.

desalniettemin erg slordig.

.oisyn Moderator Devschuur® @Aaargh! • 19 juni 2001 17:04

Daar heb je helemaal gelijk in, maar als het om beveiliging draait vind ik wel dat het gecontroleerd moet worden, omdat ze het simpelweg eigenlijk niet kunnen veroorloven om dit soort fouten te maken.

farlane @Aaargh! • 19 juni 2001 17:48

Niet relevant volgens mij....de bug blijft even ernstig. Als ik een auto koop verwacht ik ook dat 'ie het goed doet. Als 'ie mankementen vertoont en de garageman zegt dat dat komt omdat zijn werkdruk destijds zo groot was, wordt je ook boos op hem.

Op dit item kan niet meer gereageerd worden.

Ernstig beveiligingsgat in Microsoft IIS gevonden

Lees meer

Reacties (75)

Sorteer op:

Weergave: