Kijk en daarom is MS nou World Leader !

Je noemt het gewoon anders, het probleem blijft (hetzelfde) maar het is geen Beveiligingslek meer .

BRILJANT !

Syzygy, heb je eventueel ook argumenten waarom je het niet met Microsoft eens bent? Het zogenaamde beveiligingslek is naar mijn mening hooguit onlogisch te noemen. Als een programmeur hier geen rekening mee houdt dan kan dat inderdaad een onveilige situatie opleveren, maar het is dan wel de software van de programmeur (in combinatie met de aangepaste instellingen op de server) die zorgen voor de onveilige situatie. En dus niet IIS zelf.

Bovendien als je netjes de websites isoleert met Guest accounts, dan kun je nog steeds niks op het systeem.

Dus ik ben het eigenlijk wel met Microsoft eens.

Kijk het komt dus wel meer voor dat een vulnerabilty zich onder bepaalde omstandigheden voordoet. Dan kun je die omstandigheden wel de schuld gaan geven maar het feit blijft dat er wel sprake is van precaire situatie waarin een gebruiker van die Applicatie zich kan bevinden. MS wist het dus ook niet op voorhand en de klant (IIS gebruiker) werd hiervan niet op de hoogte gesteld. Het is dus wel een (mogelijk) beveiligingslek in mijn optiek maar niet een bug !!

Goede zaak dat ze het verder uitzoeken,daar niet van hoor !!

Dit is natuurlijk ook geen lek.
Als je als gebruiker inlogt als administrator en vervolgens alles vanaf het internet plukt, is dat dan ook een beveiligingslek. Het 'lek' zit hem volgens mij bij de beheerder van IIS. Misschien is die wel aan vervanging toe.

Ik ben het niet vaak met MS eens, maar bovenstaande is exact wat ik dacht toen ik voor het eerst las over dit lek: alleen read rechten op NTFS niveau, geen execute rechten op IIS niveau (i.p.v. Scripts / Scripts & CGI) en uiteraard bij/na het uploaden controleren of de het soort bestand (extentie) geupload mag worden en of de inhoud overeenkomt met de bestands extentie (don't trust the user), probleem opgelost.
Meer een installatie / configuratie / web applicatie coding issue dan een IIS lek, al blijft het inconsistente parsen van de URL natuurlijk wel een BUG wat dus wel gepatcht moet worden.

Greatz,
MyShell

Wat een bagatelliserende flauwekul vanuit Microsoft.

Beveiliging is geen kwestie van simpel roepen dat je iets had kunnen voorkomen door best-practice advies. Beveiliging is risicomanagement. En een van de manieren om dat aan te pakken is het gebruik maken van best-practice advies. Een van de mogelijkheden, want gewoonlijk pas je maatregelen in lagen toe: soms kan je maatregel 1 niet accepteren en moet je vertrouwen op andere maatregelen. Dat is ook waarom Microsoft zelf maar de mogelijkheid laat bestaan om hun producten 'fout' te kunnen configureren, dat is vriendelijker naar de klanten. Dat is ook waarom het best-practice is, in een ideale situatie kan je er voor kiezen. Het word pas een verplichting als je geen kant meer op kan.

Microsoft heeft nu een flinke berg kritiek gekregen op hun manier van bagatelliseren: een flinke tik op de vingers, want men trapt niet meer in de excuses van de pr personen die hopen dat hun woorden afleiden van het probleem dat Microsoft in hun product heeft gebouwd en klanten flink slachtoffer van kunnen worden.

Wat doen de pr personen van Micorosoft vervolgens: in plaats van er van te leren komen ze met de volgende poging tot afleiding. Nee, u moet wat wij in ons product hebben gemaakt niet zien als grote fout want het is niet consistent gebleken. Natuurlijk, als je veilig in je auto wilt zitten is het vaak aan te raden dat je je airbag goed gebruikt. Maar je moet er wel op kunnen vertrouwen dat die airbag niet sporadisch weigert als je er op wenst te vertrouwen.

De handelswijze van Microsoft is kenmerkend voor de Amerikaanse cultuur: doe al het mogelijke om te ontwijken dat je wat fout hebt gedaan. Draai om het probleem heen, wijs verantwoordelijkheid af door naar anderen te wijzen, verstevig je defensieve houding op het moment dat je woorden niet serieus genomen worden. De personen die hier het verweer voeren hebben dat nog altijd in hun gedachten en kunnen of willen daar niet vanaf wijken. Eerlijkheid duurt niet het langst, het gaat om het beperken van verlies met alle mogelijke middelen van gezwets.

Goh. eigenlijk dus gewoon weer: "Systeembeheerder, doe het goed." Dus niet microsoft doet het fout omdat meneer de systeembeheerder weer eens te lui (of te eigenwijs) is. Als je in dat oh-zo-geweldige linux apache iets wil regelen moet je ook goed beheren (en veel lezen). Maar daar kijken we als microsoft suffe beheerders natuurlijk niet naar. Stel je voor dat jeens aan je werk moet om iets goed te doen.