Windows-aukko uhkaa ftp-palvelimia
1
Cert-fi varoittaa Microsoftin IIS-palvelimessa (Internet Information Services) olevasta haavoittuvuudesta. Sille on julkaistu hyväksikäyttömenetelmä, mutta ei korjauspäivitystä, joten vaarassa olevien palvelinten ylläpitäjien on ryhdyttävä itse ehkäisytoimiin.
Onneksi haavoittuvuus ei vaaranna Windows Serverin uudempia versioita, uhattuna on vain Windows Server 2000, johon on asennettu Service Pack 4. Sen IIS5:n ftp-palvelimesta on löytynyt haavoittuvuus, jonka avulla hyökkääjä voi suorittaa kohdejärjestelmässä haluamiaan komentoja.
Haavoittuvuuden hyväksikäyttö vaatii käyttäjätunnuksen ftp-palvelimelle.
Koska korjaavaa ohjelmistopäivitystä ei toistaiseksi ole, ylläpitäjien kannattaa rajoittaa pääsyä ftp-palvelimelle esimerkiksi palomuurin avulla, rajata ulos muut kuin palvelimen käyttäjien ip-osoitteet sekä kieltää kirjautuminen anonyyminä. Haavoittuvuuden vaarallisuutta voi rajoittaa myös ottamalla kirjoitusoikeudet pois anonyymeiltä käyttäjiltä, Cert-fi neuvoo.
