Hakemistot vaarassa Windows-webbipalvelimilla
0
Tietoturvaviranomainen Cert-fi varoittaa web-palvelimissa käytetystä Microsoft Internet Information Services -ohjelmistosta (IIS) löytyneestä haavoittuvuudesta. Aukkoa on jo käytetty hyväksi, eikä siihen ole vielä tarjolla korjauspäivitystä.
Haavoittuvuus liittyy IIS 6.0 -ohjelmiston Webdav-toteutukseen, joka ei tee riittäviä pääsynvalvontatarkastuksia Unicode-merkkejä sisältäville pyynnöille. Näin hyökkääjä saattaa saada haltuunsa haavoittuvalla web-palvelimella olevaa salasanasuojattua sisältöä.
Hyökkääjän on myös mahdollista lukea, listata ja muokata haavoittuvan järjestelmän salasanasuojatuissa Webdav-hakemistoissa olevaa sisältöä ja lisätä niihin omaa sisältöään. Cert-fi:n mukaan haavoittuvuuden hyväksikäytöstä on havaittu merkkejä.
Korjauspäivitystä turva-aukkoon ei ole vielä saatavilla, mutta sen vaikutusta voi rajoittaa estämällä pääsy IIS-palvelimen Webdav-toiminnallisuuksiin ei-luotetuista verkoista.
