09/12/25 18:49:23
SANS Internet Storm Centerは12月24日、MicrosoftのInternet Information Services(IIS)に、ファイル拡張子の処理に
関する脆弱性が見つかったと伝えた。リスクはそれほど高くないとみられるが、Microsoftの公式パッチが公開されるまで
の間、回避策を取るよう呼び掛けている。
SANSによると、例えば「malicious.asp;.jpg」のような複数の複数の拡張子を持つファイルを、ASPファイルとして処理
してしまう問題があることが分かった。この問題を悪用すれば、攻撃者がファイル拡張子による制限をかわしてWebサーバ
上に悪質な実行可能ファイルをアップロードすることができてしまうとしている。
仏VUPENによれば、この脆弱性はIIS 5.xと6.xに存在する。深刻度は4段階で下から2番目に低い「Moderate」と評価。
デンマークのセキュリティ企業Secuniaの深刻度評価も5段階で下から2番目の「Less critical」となっている。
URLリンク(www.itmedia.co.jp)
2:名無しさん@お腹いっぱい。
09/12/27 15:58:51
またマイクロソフトの不具合か
Windowsをサーバーにする馬鹿なんていないか
3:名無しさん@お腹いっぱい。
09/12/27 16:00:13
Macのサーバーは糞だけど?
4:名無しさん@お腹いっぱい。
09/12/27 17:19:16
Macのサーバーとか都市伝説だろ
5:名無しさん@お腹いっぱい。
09/12/27 21:25:59
Microsoft製品は拡張子で中身判断するの大好きだな。
しかもこのバグをみると製品ごとに独自実装なんだなw
Mac OS X版のOfficeでもやらかしてた。
6:名無しさん@お腹いっぱい。
09/12/28 14:44:16
Apache httpdも複数の拡張子があると同じ動作をするんだが
Apacheは「仕様」だと言い張ってる
7:名無しさん@お腹いっぱい。
09/12/28 20:20:49 NRQ3Hftu
JR東日本とか問題を起こす知障サイトは何でいつもIISなんだろw
8:名無しさん@お腹いっぱい。
09/12/28 20:23:13
お前がいつもそういうものばっかり
探しているからじゃねーの?
いっつもMSのことが頭から離れないで
夜も眠れないんじゃない?
9:名無しさん@お腹いっぱい。
09/12/28 23:18:48 IUQOJpGn
ApacheとJAVAで良いじゃん
10:名無しさん@お腹いっぱい。
09/12/29 17:11:25
MacもIISも社内サバ向けだろ、社内で割れだのエロサイト活用でもしてなければ
問題になる機会はないだろに・・・
まぁ、バグは直した方がいいがな