Fuori la megapatch per Internet Information Server

Una nuova patch cumulativa per IIS 4 e 5 include una decina di nuove vulnerabilità, la più grave delle quali potrebbe spalancare le porte ai cracker


Redmond (USA) – Ieri Microsoft ha rilasciato una patch cumulativa per il suo server Web Internet Information Server che, oltre a contenere tutti i fix usciti fino ad oggi per IIS 5 e 5.1 e tutti quelli di IIS 4.0 usciti dopo il rilascio del Service Pack 6a per Windows NT, corregge dieci nuove vulnerabilità. Quattro di queste sono classificate come “critiche”, mentre le altre sei sono considerate di moderato o basso rischio.

La più grave affligge IIS 4.0 e 5.0 e consiste in un buffer overrun presente all’interno del meccanismo di “chunked encoding transfer” delle Active Server Pages. Attraverso questa falla, un aggressore potrebbe fermare il servizio di IIS o, nel caso peggiore, eseguire codice arbitrario sul server. Stessi effetti per una seconda vulnerabilità a questa legata che, in questo caso, affligge anche IIS 5.1.

Un altro buffer overrun nel codice che processa le intestazioni HTTP in IIS 4.0, 5.0 e 5.1, può consentire ad un cracker di confezionare un URL HTTP ad hoc che mandi in crash IIS.

La saga dei buffer overrun continua con altri due bug: uno che interessa IIS 4.0, 5.0 e 5.1, ed è contenuto in un controllo di sicurezza del server Web, ed un altro che interessa IIS 4.0 e 5.0, contenuto nelle estensioni HTR ISAPI di IIS. In entrambi i casi un cracker potrebbe mandare in crash il server e, nel secondo caso, Microsoft sostiene possa sussistere la remota possibilità che l’aggressore riesca ad eseguire codice arbitrario sul sistema.

Altre due falle, riguardanti IIS 4.0, 5.0 e 5.1 e contenute nel filtro ISAPI e nel server FTP integrato in IIS, potrebbero essere sfruttate per un attacco di tipo denial of service.

Per finire, la megapatch mette fine ad un trio di vulnerabilità di tipo Cross-Site Scripting (CSS) che affliggono il sistema di Help e alcune pagine di segnalazione di errori o di redirect in IIS 4.0, 5.0 e 5.1. In questo caso, un cracker potrebbe indurre un utente a cliccare un link sul proprio sito Web e, attraverso l’invio di uno script verso un sito IIS di terze parti, farlo recapitare all’utente.

Microsoft sottolinea come molte di queste vulnerabilità vengono del tutto o parzialmente annullate dall’utilizzo di tool di sicurezza come IIS Lockdown e URLScan .

E’ possibile trovare informazioni dettagliate e il link per il download della patch nel bollettino di sicurezza MS02-018 pubblicato da Microsoft.

Una curiosità: ieri il bollettino di Microsoft che arriva per e-mail è stato spedito due volte di seguito a causa del fatto che “il messaggio originale aveva alcuni errori di formattazione”. Ed in effetti, la prima mail era praticamente illeggibile. Errori così banali come una mail formattata male possono dunque essere commessi anche dal primo colosso mondiale del software.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Sono stufo...
    Sono stufo di dover rimparare tutto da capo quando a questi scassapalle gira di incassare con un nuovo prodotto, la cui più evidente novità è che hanno cambiato i menù.Tanti potrebbero lavorare semplicemente con Word 2.0, tutto il resto è fuffa....Quanto ai sistemi operativi di M$, sono delle schifezze, per un minimo di stabilità abbiamo dovuto usare W2K, anche se è vero che molti programmatori hanno fatto del loro meglio per fare applicazioni che mandano in bomba il pc.In ogni caso ho pagato un sistema operativo che non funziona, ho messo 2000 e ho ottenuto una stabilità decente... Dovrei pagarlo ? L'ho pagato con tutti gli altri sistemi operativi M$ che mi hanno reso la vita difficile fino ad oggi e che sono da truffa, il minimo che può fare M$ è farmelo usare senza pretendere una lira...E poi in ogni caso ho messo Linux, sì ho faticato un poco ma il risultato è stato incoraggiante anche per un principiante, ho intenzione di spendere parecchio del mio tempo su questa cosetta, e se riesco a fare tutto con il pinguino, penso di poter cambiare del tutto aria se mi impegno nel giro di qualche mese.Comunque il SW M$, è il più richiesto perchè è il più copiato, ma c'è aria nuova in giro, e non la sentono solo quelli che sono troppo incartapecoriti e arroccati sulle loro idee, io ho qualche decina di anni, ma non sono ancora rincoglionito, per me c'è speranza di cambiare ancora, e spero che tanti facciano così.La politica di M$ sulle licenze è interessante, vogliono arrivare a far pagare tutti, anche chi scrive una letterina da 4 soldi, che bello finalmente un sacco di gente alla fine prenderà altri prodotti, fino ad oggi il meccanismo di copia ha garantito la diffusione dei prodotti, domani le cose possono cambiare, e quando si tratta di spendere, ecco che miracolosamente si diventa capaci di usare altri programmi e suite Office.Insomma può solo migliorare....
    • Anonimo scrive:
      Re: Sono stufo...
      Esattamente il mio pensiero. Guarda caso nelle aule informatiche di una scuola media con cui collaboro hanno deciso di passare da un server WinNT ad un server Linux Suse, perche' veramente arcistufi di pagare licenze su licenze ;-)Salutoni da GreenuP.S. Quando Office o Windows diverranno sempre piu' difficili da copiare, immagino gia' quanta gente passera' a Linux o FreeBSD, volenti o nolenti...
  • Anonimo scrive:
    huahaha, ma è qua!!
    "Sebbene il file contenente la presentazione sembri ormai introvabile sulla Rete, sul sito WinSuperSite.com è possibile vedere la sequenza di screen-shot che facevano parte dell'animazione in Flash.."?? :-D ??guardate che è proprio su windowspro.net! cliccate su forum, il link è proprio nell'homepage principale! :)ps: http://65.26.10.88/downloads/OfficeNGO.swf se nn riuscite a trovarlo cmq ;))
  • Anonimo scrive:
    nuova era!
    credo che la grande microsoft stia per creare una nuova era per quello che riguarda i PC. E mi raccomando non state sempre pronti a criticarla...infondo è solo invidia.
    • Anonimo scrive:
      Re: nuova era!
      - Scritto da: persona seria
      credo che la grande microsoft stia per
      creare una nuova era per quello che riguarda
      i PC. L'era dove vorrà guadagnare di più (ma invece andrà in declino xche' quando si tratta di pagarli, i prodotti MS non hanno tutto quello share)
    • Anonimo scrive:
      Re: nuova era!
      - Scritto da: persona seria
      credo che la grande microsoft stia per
      creare una nuova era per quello che riguarda
      i PC. E mi raccomando non state sempre
      pronti a criticarla...infondo è solo
      invidia.Come si dice... vai avanti tu che a me scappa da ridere.P.S. MS e' grossa, non grande.
  • Anonimo scrive:
    non funzionera`
    hanno eliminato l`unica cosa che ha fatto diventare grande MS (nel senso delle dimensioni) la possibilita` di piratare il Software.Gli Utenti aziendali continueranno a scegliere per la loro societa` cio` che potrano poi installare a casa sul loro computer
  • Anonimo scrive:
    Cosa c'è di strano?
    L'annuncio di Office .Net era sicuramente prevedibile visto che secondo Ms (e non solo) il web dovrà diventarè un contenitore di servizi web.La realizzazione dell'architettura di .Net va proprio in questa direzione. Nel prox futuro saranno molte le aziende che realizzeranno software fruibile solo sul web, questo perchèun applicativo web ha molti vantaggi (nessun software installato, aggiornamenti auto, controllo licenze software etc...).L'unico prob è l'utilizzo di software sul web richiederà la presenza di una connessione alla rete permanente. Questo è un prob sopratutto per quei paesi (vedi Italia) dove i costi di connessione sono molto alti.
  • Anonimo scrive:
    Da brivido!!! :-(
    Al di la?di tutte le varie considerazioni sul nuovo concetto d?acquisto del software come ?servizio? e sulle + o ? volute/abili/preconcettuali strategie pubblicitarie di Microsoft, su cui poi ognuno trarra? le proprie dovute conclusioni. Quello che mi lascia piu? perplesso di tutto il discorso. E? pensare che qualche gonzo in futuro, lascera? sul serio archiviati su un sito direttamente o indirettamente legato alla casa di Redmond , i propri documenti personali ?Fidandosi ciecamente? sulla salvaguardia dei medesimi da parte della stessa Microsoft!Solo a pensarci mi vengono i brividi!!! :-#Voi cosa ne pensate, siamo proprio gia? arrivati all?ultimo atto del Monopolio informatico Mondiale (Perche? il probabile passo successivo, da parte di Microsoft, sara? quello del ?Solo affitto? del proprio software attraverso i ?Propri server?) di sua Maesta? Re Bill?Un saluto a tutti.Gabriele
    • Anonimo scrive:
      Re: Da brivido!!! :-(
      ..E metti che qualcuno mette documenti compromettenti in rete.. se M$ volesse potrebbe tenere in pugno qualcuno. Una cosa non difficile da realizzare, il serching su file depositati su i suoi server.. E se fosse un politico la persona "minacciabile"? Questa idea e` da paranoia, si', ma meglio paranoici ora che fregati poi!- Scritto da: Gabriele
      Al di la?di tutte le varie considerazioni
      sul nuovo concetto d?acquisto del software
      come ?servizio? e sulle + o ?
      volute/abili/preconcettuali strategie
      pubblicitarie di Microsoft, su cui poi
      ognuno trarra? le proprie dovute
      conclusioni. Quello che mi lascia piu?
      perplesso di tutto il discorso. E? pensare
      che qualche gonzo in futuro, lascera? sul
      serio archiviati su un sito direttamente o
      indirettamente legato alla casa di Redmond ,
      i propri documenti personali ?Fidandosi
      ciecamente? sulla salvaguardia dei medesimi
      da parte della stessa Microsoft!
      Solo a pensarci mi vengono i brividi!!! :-#
      Voi cosa ne pensate, siamo proprio gia?
      arrivati all?ultimo atto del Monopolio
      informatico Mondiale (Perche? il probabile
      passo successivo, da parte di Microsoft,
      sara? quello del ?Solo affitto? del proprio
      software attraverso i ?Propri server?) di
      sua Maesta? Re Bill?
      Un saluto a tutti.
      Gabriele
    • Anonimo scrive:
      Re: Da brivido!!! :-(

      E? pensare
      che qualche gonzo in futuro, lascera? sul
      serio archiviati su un sito direttamente o
      indirettamente legato alla casa di Redmond ,
      i propri documenti personali ?Fidandosi
      ciecamente? sulla salvaguardia dei medesimi
      da parte della stessa Microsoft!
      Solo a pensarci mi vengono i brividi!!! :-#Pensa tu che l'idea originaria della cosa non è di M$ ma dell'accoppiata salvatrice della patriae del genere Umano che conosciamo comeOracle-Sun nelle menti fervide di McNeally e Ellison.
  • Anonimo scrive:
    Strategie pubblicitarie.....
    A mio avviso tutto sto polverone è una trovata pubbilcitaria di Microsoft. Un ottimo sistema per far aumentare le attese, le aspettative di Office.net.Ormai in rete fa notizia e rende tutto ciò che "per sentito dire", "c'è un tipo che ha messo fuori le schermate top secret di Office.net ....... quel tipo è un grande!!!"Il piacere di vedere le cose in anteprima, essere i primi, gli unici a vedere le immagini di un prodotto che "rivoluzionerà" (se di rivoluzione si può parlare) il web.Tutto in stile MicrosoftDrugo
  • Anonimo scrive:
    Gonzi
    Non avete ancora imparato le tecniche di FUD di M$...Credo che l'animazione sia stata diffusa di proposito da M$ con due obiettivi:*Creare attesa per la nuova versione.*Valutare le reazioni della gente per capire se i modelli di licencing e i servizi on-line proposti sono ritenuti interessanti.
    • Anonimo scrive:
      Re: Gonzi
      Sono perfettamente d'accordo mi sembra evidente!E mi fa pure schifo tutto ciò
    • Anonimo scrive:
      Re: Gonzi
      magari si, magari no.. (credo che tu abbia ragione cmq ;)) che intendi per FUD esattamente?[scusa ma nn sono pratico di terminologia pubblicitaria ;)]
  • Anonimo scrive:
    basta
    io non ho ancora imparato ad usare office 97 !!e loro ogni 6 mesi mi sparano fuori una nuova versione alla modica cifra di 5-600 euro
    • Anonimo scrive:
      Re: basta
      E che fastidio ti da???Nessuno ti obbliga a comprare la nuova versione di office!! Che poi, sicuramente, sarà come per office 97/2000/XP che sono perfettamente compatibili...Boh... Certa gente si crea problemi per niente...
      • Anonimo scrive:
        Re: basta
        - Scritto da: Ratt
        E che fastidio ti da???

        Nessuno ti obbliga a comprare la nuova
        versione di office!! Che poi, sicuramente,
        sarà come per office 97/2000/XP che sono
        perfettamente compatibili...Veramente io ho dei documenti word 2000 che perdono parte della formattazione in word97.
  • Anonimo scrive:
    nausea
    Troppo mielosa e giocattolesca la GUI, e anche abbastanza incasinata.Già vedo l'impiegata che mi telefona solo per sapere dove cliccare per aprire word...
    • Anonimo scrive:
      Re: nausea
      Ma così a prima vista gli screenshot mi sembrano quelli dei servizi online, infatti sono dentro a internet explorer, staremo a vedere.
    • Anonimo scrive:
      Re: nausea
      - Scritto da: expo
      Troppo mielosa e giocattolesca la GUI, e
      anche abbastanza incasinata.
      Già vedo l'impiegata che mi telefona solo
      per sapere dove cliccare per aprire word...E' vero, a me non piace neanche la gui di win xp, esattamente troppo giocattolosa. Anche cambiando il tema del desktop non mi ci trovo troppo bene e preferisco sempre e cmq il 2000. Forse è solo questione di abitudine ma che senso ha ridisegnare cosi' di continuo l'interfaccia ??? Solo per aver una scusa per mandar fuori la nuova versione ?
      • Anonimo scrive:
        Re: nausea
        si, esatto
      • Anonimo scrive:
        Re: nausea

        Anche cambiando il tema del desktop non mi ci
        trovo troppo bene e preferisco sempre e cmq
        il 2000Scusa ma se imposti il tema come quello di Win2000, è assolutamente IDENTICO a tale sistema operativo. Cosa ci trovi di diverso?????
        • Anonimo scrive:
          Re: nausea
          Anche cambiando il tema del desktop non mi ci
          trovo troppo bene e preferisco sempre e cmq
          il 2000Scusa ma se imposti il tema come quello di Win2000, è assolutamente IDENTICO a tale sistema operativo. Cosa ci trovi di diverso?????credo solo i soldi in più che si pagano :(ciao
          • Anonimo scrive:
            Re: nausea
            Nonche' problemi con doc vecchi e doc che ti arrivano da altri. Per non parlare del concetto di fondo che e' quello di pigliare per le chiappe le persone che ingenuamente pensano di aver preso l'ultima novita' e invece si ritrovano con un mastodontico scatolone pieno di cose giocattolose, scomode e per il 90% che non useranno mai.PSE' solo il mio modesto parere...- Scritto da: panwood
            Anche cambiando il tema del desktop non mi
            ci

            trovo troppo bene e preferisco sempre e
            cmq

            il 2000

            Scusa ma se imposti il tema come quello di
            Win2000, è assolutamente IDENTICO a tale
            sistema operativo. Cosa ci trovi di
            diverso?????

            credo solo i soldi in più che si pagano :(
            ciao
Chiudi i commenti