image

Microsoft IIS-lek mogelijk tien jaar oud

dinsdag 8 september 2009, 14:36 door Redactie, 7 reacties

Eén van de lekken in Microsoft's Internet Information Services (IIS) webserver, die hackers inmiddels actief misbruiken, is mogelijk al tien jaar oud, aldus een Luxemburgse beveiligingsonderzoeker. Thierry Zoller ontdekte dat waarschijnlijk precies hetzelfde lek ook in IIS 3 en 4 zat en al op 24 januari 1999 door eEye Digital Security werd gemeld.

Toen ging het ook om buffer overflow in the NLST commando, waardoor een aanvaller een Denial of Service kon veroorzaken of het systeem overnemen. Zoller vraagt zich af of het inderdaad dezelfde bug is en of die mogelijk geherintroduceerd is. "Heeft Microsoft wel LS gefixt, maar niet NLST? misschien een foutje met subversion?"

Reacties (7)
08-09-2009, 14:52 door meinonA
"subversion" ??? Maakt MS zelf geen gebruik van het geweldige "source safe"? ;)
08-09-2009, 16:05 door Anoniem
Om maar even aan te geven hoe zeker ze van zichzelf zijn, laten we eens naar bv. Bing kijken... Durven ze niet eens op hun eigen IIS te draaien hoor... (zou ik ook niet doen)

Site - First seen - Netblock - OS
www.bing.com - febuary 2002 - akamai technologies - linux
08-09-2009, 16:42 door bobo
@ Anoniem
February 2002 ? :p
08-09-2009, 20:06 door Anoniem
Door Anoniem: Om maar even aan te geven hoe zeker ze van zichzelf zijn, laten we eens naar bv. Bing kijken... Durven ze niet eens op hun eigen IIS te draaien hoor... (zou ik ook niet doen)

Site - First seen - Netblock - OS
www.bing.com - febuary 2002 - akamai technologies - linux


Akamai is een tent die transparant de inhoud van websites mirrort op een server dicht bij de client, wat tot snellere verbindingen leidt. Microsoft maakt al langer dan vandaag gebruik van ze. Het is inderdaad ironisch dat Microsoft gebruik maakt van een bedrijf dat zelf Linux gebruikt, met als resultaat dat het lijkt of Microsoft zijn eigen spullen niet gebruikt. Alleen lijkt het maar zo, Microsoft zelf draait echt wel IIS.
08-09-2009, 22:17 door eMilt
Eeeh, ik zie niet in wat versiebeheer met het fixen van bugs in twee verschillende commando's te maken heeft. De programmeur die het gefixed heeft had wel wat beter moeten opletten omdat de code achter de twee commando's vermoedelijk wel sterk op elkaar lijkt.

Enne subversion ? Dat bestond toen nog niet (CVS, de voorloper van Subversion wel) maar ga er maar vanuit dat men daar SourceSafe gebruikt.
09-09-2009, 00:32 door SavageTiger
Door Anoniem: Om maar even aan te geven hoe zeker ze van zichzelf zijn, laten we eens naar bv. Bing kijken... Durven ze niet eens op hun eigen IIS te draaien..

Akamai is een partij die Microsoft gebruikt als LoadBalancer, hun hardware draait op Linux, dat zegt niets over de servers die Bing draaien, kan prima Windows (Minwin?) zijn. (Ik ben geen Pro-MS of Anti-MS persoon.)
09-09-2009, 11:33 door Anoniem
Door meinonA: "subversion" ??? Maakt MS zelf geen gebruik van het geweldige "source safe"? ;)
Microsoft gebruikt intern geen SourceSafe, en dat is maar goed ook.

Er zwerft op internet een presentatie rond waarin Microsoft de software development practices rondom Windows 2000 uit de doeken doet, en hierin staat onder meer dat men SCCS gebruikt (Source Code Control System), een in-house tool, en dat de source voor Wiundows 2000 zo'n 50GB groot is.

SourceSafe is een rampzalig dramaproduct, en toen ik (lang geleden, zeg maar de Win2k tijd) een sourcesafe repository moest beheren heeft me dat wel wat slkapeloze nachten en verknalde weekends gekost omdat die repository weer eens corrupted was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.