Hullanak az IIS-ek

Az utóbbi időben egyre több olyan hír jelent meg a világhálón, amelyek szerint durva hiba lehet a Windows-ban, az IIS-ben vagy az SQL Serverben, mert sorra hullanak azok a szerverek, melyek ezeket használják. Április 17-én a Microsoft kiadott egy Security Advisory-t (951306), amely azonban nem írt arról, hogy pontosan mi a hiba oka, csak azt tette egyértelművé, hogy nincs patch, mi javítaná.

Nos, azóta a Microsoft jobban utánajárt a dolognak és kiderítették, hogy nem termék hibáról van szó, hanem SQL injection módszerrel sikerült megfektetni az érintett webhelyeket. Azaz a webhely programozója tehet arról, hogy security bugot hagyott a kódjában. Számomra ugyan meglepő, hogy ez a támadási módszer a mai napig ilyen jól működik, de hát elég sok régi kód van még sok helyen használatban…

A Microsoft részletes válasza megtalálható ezeken a címeken:

A lényeg:

  • Nem találtak hibát Microsoft termékben, amit ez a támadási hullám kihasználna.
  • A támadásokat SQL injectionön keresztül hajtották végre.
  • A támadás teljesen automatikus, egy január óta működő web bot keresők segítségével megtalálja a támadható weblapokat. Egyelőre nem ismert (vagy nem publikus) hogy milyen kifejezésre keres ez a web bot. Gyaníthatóan .asp és .aspx kiterjesztésű oldalakra vadászik.

Akinek esetleg még új az SQL injection fogalma, annak nagyon tudom javasolni Scott Guthrie rövid írását a témáról.

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s