Ny alvorlig svakhet i Microsoft IIS FTP Service 7.5. Det rapporteres om mulighet for denial of service og enkelte har spekulert i muligheten for å kunne utnytte den til å kjøre vilkårlig kode. Ifølge Microsoft er det imidlertid lite trolig at sistnevnte vil være mulig. Det foreligger ingen løsning på problemet pt.
Microsoft IIS FTP Tjenestenekt Sårbarhet
| Det er oppdaget en sårbarhet i IIS FTP Service som kan gi en angriper mulighet til å forårsake tjenestenekt på sårbare systemer. Sårbarheten, som ble oppdaget av Matthew Bergin, utføres ved at en spesiallaget forespørsel sendes til serveren. Denne forespørselen kan sørge for at tjenesten kræsjer. Det har i ulike forum blitt diskutert hvorvidt vilkårlig kode kan kjøres. Ifølge Microsoft er det lite trolig da en angriper ikke har kontroll over områdene som overskrives og DEP (Data Execution Prevention) vil forsøke å beskytte mot bruk av metoder som f.eks Heap Spray for å få kjørt kode. Koden for å utføre angrepet er publisert og fritt tilgjengelig for alle å laste ned. Det finnes i skrivende øyeblikk ingen oppdatering eller løsning for å fikse dette problemet. Det anbefales derfor å begrense tilgang til tjenesten for å minske sannsynligheten for at et angrep skal finne sted. |
||||
| Anbefaling | ||||
|---|---|---|---|---|
| Begrense tilgang til tjenesten. | ||||
| Referanser | ||||
| http://blogs.technet.com/b/srd/archive/2010/12/22/assessing-an-iis-ftp-7-5-unauthenticated-denial-of-service-vulnerability.aspx | ||||