Quartetto di bug per l'MS Commerce Server

Microsoft rilascia quattro patch che tappano altrettante voragini del Commerce Server. I cracker potrebbero sfruttarle per penetrare nei sistemi vulnerabili


Redmond (USA) – Microsoft svela l’esistenza di un quartetto di vulnerabilità di sicurezza che affliggono le versioni 2000 e 2002 del suo noto Commerce Server, una piattaforma per la creazione e l’amministrazione di siti di e-commerce.

La prima falla consiste in un buffer non verificato incluso in una sezione del codice del Profile Service che gestisce alcuni tipi di chiamate alle API. Attraverso l’invio al server di dati malformati, un aggressore potrebbe sfruttare il baco per fermare il servizio del Commerce Server o eseguire del codice con i privilegi di LocalSystem.

La seconda vulnerabilità è causata dalla presenza di un buffer overrun all’interno del package installer dell’Office Web Components (OWC). Un cracker che passasse al pacchetto dell’OWC alcuni tipi di dati malformati potrebbe essere in grado di eseguire comandi nello stesso contesto del Commerce Server o, ben più grave, in quello di LocalSystem.

Il terzo bug di sicurezza riguarda ancora il package installer dell’OWC. Se attivato in un certo modo, questo software può consentire ad un aggressore di eseguire comandi all’interno del Commerce Server con i privilegi associati alle credenziali con cui si è loggato nel sistema.

L’ultima falla consiste in una variante della vulnerabilità dell’ISAPI Filter discussa nel bollettino MS02-010 . In questo caso un aggressore può sfruttare la debolezza per prendere il pieno controllo di quei sistemi su cui giri il server Web integrato nel Commerce Server: quelli che utilizzano Internet Information Server non sono a rischio.

Tutte le vulnerabilità sopra descritte affliggono la versione 2000 del Commerce Server, mentre solo l’ultima interessa anche l’edizione 2002.

Microsoft afferma che l’utilizzo del tool URLScan , configurato con l’insieme di regole specifiche per il Commerce Server, “potrebbe rendere assai difficile, se non impossibile” l’eventualità che un aggressore riesca a fruttare la prima e l’ultima vulnerabilità. Per le altre due falle i fattori mitiganti sono dati dal fatto che l’aggressore deve necessariamente avere le credenziali adatte per potersi loggare sul server in cui gira il Commerce Server 2000.

Tutte le patch possono essere scaricate dall’interno del bollettino di sicurezza MS02-033 .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Fatevi avanti!!!
    chi ha il coraggio di fare un CD con tutti gli aggiornamenti di windows?
  • Anonimo scrive:
    non e' libero
    non so se avete letto la licenza ma il maestro xian l'ha letta e dice che vi puo' installare roba sul pc per difendere il drm e quindi non e' free un po' come apt-get pero' cattivo
  • Anonimo scrive:
    basta!
    Basta con queata massa di co****ni (def.:organi maschili di forma vagamente sferoidale)
  • Anonimo scrive:
    Come girano...
    Ma si puo' vivere tranquilli sta' 'zzo di tecnologia?Ma si vive meglio grazie ad essa o dobbiamo vivere per lei stando dietro a tutti i pericoli che comporta per il nostro vivere in rete?Ma sta 'zzo di Microsoft possibile non sia legalmente perseguibile per tutti i problemi economici e sociali che comporta l'utilizzo delle sue tecnologie?!?!
    • Anonimo scrive:
      Re: Come girano...
      - Scritto da: unoqualsiasi
      Ma si puo' vivere tranquilli sta' 'zzo di
      tecnologia?
      Ma si vive meglio grazie ad essa o dobbiamo
      vivere per lei stando dietro a tutti i
      pericoli che comporta per il nostro vivere
      in rete?Mah, sinceramente questo mi sembra solamente vittimismo bello e buono. Situazioni del tipo"mamma mia, che stress la rete - piena di hackere ladri e pornopederasti - sembra di essere in un far-west digitale, aiuto la cyberguerra, siamo schiavi di una tecnologia imposta da un monopolio, aiuto, facciamo la rivoluzione, ahwake up Neo !".Se posso dare il mio umile parere, mi sembra chemolta gente sia influenzata in maniera pesanteda film di fantascienza, vecchi racconti diGibson e Sterling e dalla mania allarmistica deisoliti giornalisti "sbatti il mostro in 1a pagina"Quali pericoli REALI corri se navighi in Retecon il Windows Media Player attivo ? Quanto navighi al giorno 1,2,3 ore ?E cosa credi che ci sia di così vitale nel tuo PCda attirare l'attenzione dei malefici "hacker",che indubbiamente sono lì 24 ore su 24 adattendere che tu faccia partire il player solo per eseguire uno script che ti ridimensionala finestra di IE ?Ma per piacere! Probabilmente la maggioranza dinoi neanche utilizza la carta di credito suInternet, e il pericolo più grosso che correteè che qualcuno mandi alla vostra fidanzata le immagini porno che avete salvato in qualchedirectory dell'HD.Cerchiamo di essere obiettivi e realisti.La Rete è un mezzo di comunicazione,potente e rivoluzionario, ma ALLO STATO ATTUALE DELLE COSEnon ha ancora influenzato la sfera UMANA e SOCIALEin maniera significativa - e se per qualcunonavigare con programmi potenzialmente fallati èuno "stress insostenibile", beh, ci sono un saccodi altre cose più rilassanti da fare.
      • Anonimo scrive:
        Re: Come girano...
        - Scritto da: Geronimoe il pericolo più grosso che
        correte
        è che qualcuno mandi alla vostra fidanzata
        le
        immagini porno che avete salvato in qualche
        directory dell'HD.E ti pare poco?
        • Anonimo scrive:
          Re: Come girano...
          - Scritto da: mao
          - Scritto da: Geronimo
          e il pericolo più grosso che

          correte è che qualcuno mandi

          alla vostra fidanzata le

          immagini porno che avete salvato in

          qualche directory dell'HD.

          E ti pare poco?Senza dubbio può dare fastidio (se hai qualche"scheletro dento l'armadio", diciamo) manon mi si venga a dire che dobbiamo questipericoli della rete sono troppo grossi a causa della tecnologia... sono problemipersonali. Insomma, posso capire che chi ci lavora, in rete,voglia (per se e per i propri clienti) ragionevoli margini di sicurezza e privacy.Ma non accetto che si faccia del facile vittimismo quando a casa non si fa altroche scaricare MP3, foto hard e snavigazzare -e se non ritenete alcuni strumenti (peraltrocompletamente accessori, tipo Windows MediaPlayer) sicuri, perchè continuate ad usarli?A volte mi sembra che la gente voglia forzatamentetrovarsi problemi o battaglie da combattere,anche se queste battaglie il 90% delle voltesembrano patetici rispetto ad altre questioni.Come ho già detto, cerchiamo di vedere le cose con un minimo di prospettiva e buonsenso.
      • Anonimo scrive:
        Re: Come girano...
        La saggezza indiana! Concordo su tutto... :)LAvoro in una società con ingegneri informatici laureati che prima si inca@@ano con la banca perchè tarda a mandargli la carta di credito...poi una volta ottenuta, la lasciano ammuffire nel portafogli perchè non si fidano del commercio elettronico (molti di loro non la usano neanche nei negozi "reali")...la parte + spassosa è che quando vogliono fare acquisti sulla rete vengono da noi "pazzi" chiedendoci di usare la nostra! "...tanto, se te l'hanno clonata, ormai non puoi farci nulla..."Che tristezza...
  • Anonimo scrive:
    Alla faccia!!
    Cavolacci e meno male che sono a medio rischio......si si ma tanto per Microsoft se uno qualsiasi puo'accedere al sistema e spaccare tutto non e' un problema...tanto era una macchina windows ;-)sigh!
    • Anonimo scrive:
      Re: Alla faccia!!
      - Scritto da: 2click
      Cavolacci e meno male che sono a medio
      rischio...

      ...si si ma tanto per Microsoft se uno
      qualsiasi puo'accedere al sistema e spaccare
      tutto non e' un problema...tanto era una
      macchina windows ;-)


      sigh!D'altro canto, puoi sempre usare un Mac o un PC Linux... :)
      • Anonimo scrive:
        Re: Alla faccia!!
        Non capisco proprio perchè i vari linuxiani non ammettono che da Windows 2k in poi compreso XP a linux ci passa un mare di usabilità. Io uso sia XP Pro che la redhat 7.2 con kde e tra i due se potessi buttarne via uno butterei linux.Linea di comando? certo se la volessi usare tornerei 10 anni indietro al tempo di Dos (anche se non sono paragonabili in potenza).Del resto piccoli problemi come il modem interno del mio portatile sotto windows xp va da subito, senza nessun problema... mentro in redhat no e il tanto blasonato supporto tecnico non mi ha dato nemmeno risposta.Complimenti linux. Se proprio devo prendo Mac.Andrea
        • Anonimo scrive:
          Re: Alla faccia!!
          - Scritto da: AndreaMa se non sai usare Linux perche' vuoi farlo?Linux non e' per tutti... c'e' chi puo' e chi non puo', evidentemente tu non puoi..Bye
          • Anonimo scrive:
            Re: Alla faccia!!
            - Scritto da: 35.21?


            - Scritto da: Andrea

            Ma se non sai usare Linux perche' vuoi farlo?Complimenti...questo sì che è il vero spirito dell'Open Source!!!
            Linux non e' per tutti...Vedi sopra...
            c'e' chi puo' e
            chi non puo', evidentemente tu non puoi..E allora non rompetei maroni "MS uccide il libero mercato!...Alla gogna Bill Gates!..."Se non vuoi che Linux sia per tutti, di che ti lamenti, visto che Windows si rivolge ad un utenza prettamente diversa da te (che ovviamente sei un genio)?
  • Anonimo scrive:
    SIORI E SIORE, INCREDIBILE!
    Mi stupisce il fatto che essendo le 9:29 non c'è ancora nessun commento a una notizia in cui MS fà una cosa positiva. Non è che ammiri o disprezzi in qualche modo particolare MS, ma mi fà pensare il fatto che se questa fosse stata solo una notizia di vulnerabilità e basta, ora ci sarebbero 50 post con scritto di tutto contro MS. Una volta che bill fà 1 cosa giusta allora non vale la pena di dire un cazzo: a cosa ci si attacca, no?
    • Anonimo scrive:
      Re: SIORI E SIORE, INCREDIBILE!
      - Scritto da: Delta V
      Una
      volta che bill fà 1 cosa giusta allora non
      vale la pena di dire un cazzo: a cosa ci si
      attacca, no?Fa una cosa giusta?!!?!?!! Ma che commento del piffero!Ma quanti di voi continuerebbero a comprare prodotti che ogni pochi giorni devono "rientrare" per difetti? Ma va fan MS!
      • Anonimo scrive:
        Re: SIORI E SIORE, INCREDIBILE!

        Fa una cosa giusta?!!?!?!! Ma che commento
        del piffero!

        Ma quanti di voi continuerebbero a comprare
        prodotti che ogni pochi giorni devono
        "rientrare" per difetti?

        Ma va fan MS!il che mi fa pensare che nessuno di voi legge bugtraqse andate su securityfocus vedrete una 20ina di vulnerabilita' al giorno, che riguardano OGNI software esistente....evidentemente, se fosse come dici tu, non bisognerebbe usare nulla...ciao
        • Anonimo scrive:
          Re: SIORI E SIORE, INCREDIBILE!
          - Scritto da: maks
          il che mi fa pensare che nessuno di voi
          legge bugtraq
          se andate su securityfocus vedrete una 20ina
          di vulnerabilita' al giorno, che riguardano
          OGNI software esistente....Se si parla di OpenSource per "definizione" si parla di progetti continuamente "in lavorazione" ma quando si parla di software proprietario TUTTE le software-house dovrebbero SMETTERLA di rilasciare prodotti bacati-fallati-insicuri-erompicoleottericontutteleloropatchdel cavolo.
          evidentemente, se fosse come dici tu, non
          bisognerebbe usare nulla...Se non sbaglio nel mondo OpenSource c'e' il concetto di stable e development. Se voglio la "sicurezza" scelgo il primo, giusto? Con le aziende? Dopo che pago perche' devo subire di fare costantemente il loro beta-tester?
          • Anonimo scrive:
            Re: SIORI E SIORE, INCREDIBILE!


            il che mi fa pensare che nessuno di voi

            legge bugtraq

            se andate su securityfocus vedrete una
            20ina

            di vulnerabilita' al giorno, che
            riguardano

            OGNI software esistente....

            Se si parla di OpenSource per "definizione"
            si parla di progetti continuamente "in
            lavorazione" ma quando si parla di software
            proprietario TUTTE le software-house
            dovrebbero SMETTERLA di rilasciare prodotti
            bacati-fallati-insicuri-erompicoleottericontu
            non uscirebbe mai software

            evidentemente, se fosse come dici tu, non

            bisognerebbe usare nulla...

            Se non sbaglio nel mondo OpenSource c'e' il
            concetto di stable e development. Se voglio
            la "sicurezza" scelgo il primo, giusto? Con
            le aziende? Dopo che pago perche' devo
            subire di fare costantemente il loro
            beta-tester?apache 1.3.24 e' considerato stable da un bel po' di tempo..peccato ci sia un bug enorme...il software stable non esistelamentarsi dei bug e' come lamentarsi del fatto che usando una cosa si logora...alcuni bug sono macroscopici, la maggior parte affiorano con l'uso...non si puo' testare un prodotto 4 anni per farlo uscire quando ormai e' vecchio...ciao
          • Anonimo scrive:
            Re: SIORI E SIORE, INCREDIBILE!
            - Scritto da: maks
            apache 1.3.24 e' considerato stable da un
            bel po' di tempo..
            peccato ci sia un bug enorme...
            il software stable non esiste
            lamentarsi dei bug e' come lamentarsi del
            fatto che usando una cosa si logora...
            alcuni bug sono macroscopici, la maggior
            parte affiorano con l'uso...
            non si puo' testare un prodotto 4 anni per
            farlo uscire quando ormai e' vecchio...

            ciaoperfettamente d'accordo.ricordate il glorioso win 3.11? ebbene, quel sistema operativo aveva un numero enorme di bachi, nell'ordine delle migliaia (naturalmente scoperti e catalogati in seguito).Eppure win 3.11 poteva considerarsi "stable", perché la MS ha sempre messo in commercio prodotti pieni zeppi di bugs ma non così tanti (e gravi) da pregiudicarne l' utilizzo.
          • Anonimo scrive:
            Re: SIORI E SIORE, INCREDIBILE!
            .. e' inutile scrivere queste cose.E' pura verita' e verra' ignorata come sempre da chi pretende che il software sia perfetto.Come ben sai, chi pretende la perfezione nel software, non ha abbastanza esperienza per capire quello che hai detto.Saluti
    • Anonimo scrive:
      Re: SIORI E SIORE, INCREDIBILE!
      quale "cosa giusta"? rilasciare delle patch? wow, ma che braaavooo (voce di oriano ferrari). e io che pensavo che i bachi si correggessero col ddt...questa è appunto una di quelle notizie dove di solito ci sono 50 post uno + scemo dell'altro.probabilmente i troll si sono stufati di trollare. con buona pace dei "linuxari" che (forse) stavolta non verranno accusati ingiustamente di avere due pesi e due misure per colpa di pochi (secondo me) provocatori.- Scritto da: Delta V
      Mi stupisce il fatto che essendo le 9:29 non
      c'è ancora nessun commento a una notizia in
      cui MS fà una cosa positiva. Non è che
      ammiri o disprezzi in qualche modo
      particolare MS, ma mi fà pensare il fatto
      che se questa fosse stata solo una notizia
      di vulnerabilità e basta, ora ci sarebbero
      50 post con scritto di tutto contro MS. Una
      volta che bill fà 1 cosa giusta allora non
      vale la pena di dire un cazzo: a cosa ci si
      attacca, no?
    • Anonimo scrive:
      Re: SIORI E SIORE, INCREDIBILE!
      - Scritto da: Delta V
      una volta che bill fà 1 cosa giusta allora non
      vale la pena di dire un cazzo: a cosa ci si
      attacca, no?Hei giovane, qui c'e' gente come il sottoscritto che ha speso 2 ricchi milioni di lire per un S.O. e ogni 5 giorni si illumina il windows update! e sono stufo anche di leggere i bullettin! Non giochiamo, l'unica cosa che rinfaccero sempre ai sistemi Linux è l'utenza che deve crescere mentalmente (non è un'offesa).Tutti sanno che linux è migliore, così come tutti sanno che drogarsi fa male, ma dovete insegnarlo e dimostrarlo agli altri, non essere arroganti a chi usa Windows, questa è una delel chiavi fondamentali. Sostituitevi ai preti e profetizzate Linux alle nuove leve ;-) Ex utente smanettone Amiga e ora PC.
Chiudi i commenti