Microsoft: Bug im Internet Information Server
Microsoft: Bug im Internet Information Server
19. Oktober 2000 -
Microsoft hat einen Patch veröffentlicht, der im IIS das Ausführen von Programmen per URL verhindert.
Über einen Bug in Microsofts Internet Information Server (IIS) ist es einem Hacker möglich, über eine bestimmte Modifikation in der URL von ausserhalb Zugriff auf Dateien zu erhalten. Betroffen sind beliebige Dateien des Laufwerks, auf dem das Web-Verzeichnis gespeichert ist, auch ausserhalb des Document-Root. So kann ein Hacker über die Website zusätzliche Rechte auf dem Server erhalten und missbrauchen. Ausgeführt würden die Programme unter dem Account IUSR_machinename.
Microsoft empfiehlt allen, die mit dem IIS in der Version 4.0 oder 5.0 arbeiten, einen Patch herunterzuladen, den die Redmonder zur Verfügung stellen, da der Bug unter Umständen grossen Schaden anrichten kann. Derselbe Patch wurde bereits im August - wenn auch aus anderen Gründen - veröffentlicht. User, die den Bugfix schon damals installierten, können sich ein erneutes Update sparen. (mw)
Microsoft empfiehlt allen, die mit dem IIS in der Version 4.0 oder 5.0 arbeiten, einen Patch herunterzuladen, den die Redmonder zur Verfügung stellen, da der Bug unter Umständen grossen Schaden anrichten kann. Derselbe Patch wurde bereits im August - wenn auch aus anderen Gründen - veröffentlicht. User, die den Bugfix schon damals installierten, können sich ein erneutes Update sparen. (mw)