Les serveurs Microsoft IIS en danger ?
Un hacker utilisant le pseudonyme Kingcope vient de publier le code source d’un programme capable de prendre le contrôle d’un serveur Microsoft Internet Information Server.
Étendue discutée
Les webmasters sont donc invités à faire attention, même s’il est encore difficile de percevoir l’étendue du code. Certains affirment que seules des versions anciennes d’IIS sont touchées. Microsoft a seulement expliqué se pencher sur le problème.
Dégâts assurés
Nous savons que la faille exploitée porte sur le module FTP d’IIS, ce qui signifie que ce dernier doit être activé pour que le code fonctionne. Si le logiciel pirate démarre, un hacker peut alors installer un logiciel malveillant et prendre le contrôle du système, ce qui pourrait avoir des conséquences désastreuses.
9
Commentaires
40 % de netbooks en plus
- Un serveur rapide pour vSphere 4
- Citrix facilite la vie des designers
- Hyper-V Server 2008 R2 disponible
- VMware automatise les tâches dans les datacenters
- 10 raisons d'aimer Snow Leopard
- NostalGeek : 2008
- Test du Thermaltake ISGC-V320
- Sharkoon : le boîtier de la Temptation
- Un PC tout-en-un tactile 24'' chez Medion
Des miniSSD monstrueux chez PhotoFast
- Les ventes de puces en hausse en juillet
- Le RAVEN02 de SilverStone en test
- Test de la MA785GMT-UD2H de Gigabyte
- AMD : TDP de 20W pour un Athlon II mono-core
- 500 Go, 7 200 tpm et 2,5 pouces
- Apple répare les charnières des MacBook Air
- 147 millions de dollars de perte pour Sun
- EVGA : une carte mère, 7 ports PCIe 16x
- NostalGeek : c'est fini
Liens commerciaux
Autres catégories :
Publicité
Dernières actus
A voir aussi
Actus et dossiers
Un hacker utilisant le pseudonyme milw0rm vient de publier le code source d’un programme capable de prendre le contrôle d’un serveur Microsoft Internet Information Server.
Les serveurs Microsoft IIS en danger ? : Lire la suite
la classe, tu as mis a jour la news, mais le résumé quand on cite via le forum ne l'ai pas... allez, la news est presque bonne maintenant...
e-Te_lut: je te remercie d'avoir souligné l'erreur, mais ce ton aggressif n'est vraiment pas à ton honneur. Pour ce qui est du résumé forum, c'était juste une question de timing entre le moment où tu as vérifié et le moment où la modif a été validée.
je suis juste decu de voir que ca arrive malheureusement de plus en plus souvent
j'adore ppc et ca fait un paquet de temps que c'est un site que je prend plaisir a lire, mais je prefere que les news arrive 15minutes plus tard et qu'elle soit correct
je sais que c'est devenu concurrentiel d'avoir un site d'actu, mais bon, si on apprecie ppc, c'est pour la qualité par pour la rapidité
Je suis d'accord avec vous deux, des news correctes et pas d'agréssivité
e-TE_iut, quand on écrit "ne l'ai pas" au lieu de "ne l'est pas", on va se cacher et on ne la ramène pas...
c'est peut etre aussi pour ca que je suis pas payé pour rédiger des news
t'es toujours aussi agréable a lire en tout cas ^^
sur ce,
C'est le genre de faille et de problème qui va encore un peu plus permettre aux solutions alternatives à IIS de se maintenir à un haut niveau (Merci les serveurs apache-Tomcat et consoeurs)... le tout gratuitement! (à opposer au coût de licence Windows en version serveur).
Enfin bon: si c'est une réexploitation d'une ancienne faille... ça n'a rien de si "compliqué". Par contre, s'il n'y a pas de solution autre que de désactiver le ftp...
d'après la news originale et le code source, il semble qu'il soit nécessaire de se logger sur le serveur, puis de pouvoir créer un répertoire. les comptes anonymes ne peuvent généralement pas créer de répertoire (si l'admin à bien fait son boulot), il faut donc d'abord récupérer un compte avec pouvoir (si on en a pas déjà un, bien sur...). il est bien précisé que ça fonctionne pour les versions 5 de IIS (windows 2000) et "probablement" pour les précédentes, donc ça commence à dater.
alors même si cette news est une fois de plus très accrocheuse et alarmiste, la faille décrite ne concerne en fait que des cas bien spécifiques, ce qui n'est pas précisé ici, c'est bien dommage.
et pour les détracteur de IIS, croyez-vous vraiment qu'il existe des systèmes inviolables? perso j'utilise apache et filezilla, mais uniquement pour des raisons de coût, tout en sachant pertinemment que des failles y sont découvertes régulièrement (en particulier sue les versions anciennes), ni plus ni moins que pour les programmes payants.
d'après la news originale et le code source, il semble qu'il soit nécessaire de se logger sur le serveur, puis de pouvoir créer un répertoire. les comptes anonymes ne peuvent généralement pas créer de répertoire (si l'admin à bien fait son boulot), il faut donc d'abord récupérer un compte avec pouvoir (si on en a pas déjà un, bien sur...). il est bien précisé que ça fonctionne pour les versions 5 de IIS (windows 2000) et "probablement" pour les précédentes, donc ça commence à dater.
alors même si cette news est une fois de plus très accrocheuse et alarmiste, la faille décrite ne concerne en fait que des cas bien spécifiques, ce qui n'est pas précisé ici, c'est bien dommage.
et pour les détracteur de IIS, croyez-vous vraiment qu'il existe des systèmes inviolables? perso j'utilise apache et filezilla, mais uniquement pour des raisons de coût, tout en sachant pertinemment que des failles y sont découvertes régulièrement (en particulier sue les versions anciennes), ni plus ni moins que pour les programmes payants.
Ayant utilisé IIS avec .NET, puis Apache/tomcat pour du java/Jsp, je ne peux que confirmer ce que tu dis. Tout est faillible, et là, pour le coup, ça confirme ce que je pensais: si les gens laissent des trous dans les paramétrages initiaux, facile de jouer au con. De plus, si ces trous sont corrigés par patch, charge aux admins de faire leur boulot vital de mise à jour.... Mais comme on corrige que quand c'est généralement trop tard...