IIS bug: Még egy érv az Apache mellett

Bug

A Microsoft bejelentette, hogy egy nagyobb hibát találtak megint a Microsoft IIS-ben (Internet Information Service). A hiba nem kicsi, a szerver szoftver egyik függvényében levő hiba lehetőséget biztosít a Web server adminisztrátornak arra, hogy megváltoztassa a jelszavát egy Internet oldalnak. A hibát a eEye Digital Security fedezte fel úgy április közepe körül de nem jelentették be, mert megegyeztek a Microsofttal a titoktartásról. A The Wired cikkét megtalálod itt és a MS security bulletint itt amely leírja a hibát. Nem szoktam MS ellenes cikkeket írni, de ez azért már sok. A Microsoft két hónap alatt állította elő a biztonsági foltot, ez alatt az idő alatt az ügyfelek gépe teljesen nyitott volt a külvilág felé. Mindez egy open source környezetben a felmérések szerint akár órákon belül megtörténik, de az leghosszabb idő sem haladja meg rendszerint a három napot.


Nem tudok mást mondani, csak ennyit: USE APACHE.

Én csak azon csodálkozok, hogy ezek után még vannak bátor cégek akik IIS-en futtatnak internet site-ot.

( scott | 2002. 06. 13., cs – 13:59 )

Az eeye gyártja amúgy a secureIIS nevű előtét-proxyt NT/IIS-re (http://www.eeye.com/SecureIIS/) lehet, hogy a saleseseknek is jól jött ez a kis bus és tudtak sok SecureIIS-t eladni jol... hmmm...

( scott | 2002. 06. 13., cs – 13:59 )

Az eeye gyártja amúgy a secureIIS nevű előtét-proxyt NT/IIS-re (http://www.eeye.com/SecureIIS/) lehet, hogy a saleseseknek is jól jött ez a kis bus és tudtak sok SecureIIS-t eladni jol... hmmm...

Ez igy van, de ez felvet egy sor etikai kerdest is. Miert halasztottak a bejelentest? Nyilvan azert, mert a MS security patch politikaja, hogy allitsd le a servicet, es vard meg amig kijon a service pack 3, azt toltsd ra a sevice pack sehanyra, es minden jo lesz. Ebben az esetben az ugyfel var 2-3-4 honapot. Vagy toltsd le a hotfixet, ami jo esetben akar heteken belul kinn van, de addig alitsd le a service-t.

Az eEye azzal, hogy kotott egy titoktartasi megallapodast a MS-sel, es nem jelentette be a bugot, egy rakas ugyfelnek artott. Lehet hogy sokunk nem hallott errol a bugrol, de aki kicsit melyebben mozog az internetes underground csoportok kozott az tudja, hogy leteznek 0day exploitok, sot olyan titkos levlistakrol is hallani, ahol penzert lehet ilyen nem publikus exploitokat kapni. Az eEye nyilvan figyelmeztette azt a mareknyi kivaltsagos ugyfelet akikkel szerzodesuk van, es nyilvan igy tett a MS is.

De mi van azokkal akik a dobozos windows 2000 server vagy mittom en milyen termeket a PC KUCKO, meg hasonlo nagynevu helyeken vasaroljak meg? Ezeket az ugyfeleket ki figyelmezteti? Senki. Es ezek vannak tobben.

Az eEye igy jo uzletet kot, Hozzadorgolozik a MS-hoz, nem jelenti be a bugot, elkesziti a SecureIIS-t, bejelenti a bugot, es kaszal. A rendszergazdak (nyilvan a nem epelmejuek - mert ennyi bug, szivas utan csak a nem epelmejuek hasznalnak IIS-t, meg azok akiknek nincs mas valasztasuk a ceg software policy miatt) meg szivnak erosen.