Sicherheitslücke in Microsoft IIS

Verschiedene Versionen der Microsoft Internet Information Services (IIS ) enthalten eine Sicherheitslücke, die nach Angaben des Entdeckers Soroush Dalili dazu genutzt werden könnte, Schadcode auf Windows-Webserver zu schleusen und auszuführen, die IIS-Dienste nutzen. Wie Dalili erläutert (PDF-Datei), handelt es sich um ein Problem beim Parsen von Dateinamen mit Semikolon-Erweiterung in IIS. Durch das Anhängen etwa von ";.jpg" an eine .asp-Datei, könnten Systeme, die die Ausführbarkeit von Code lediglich anhand der letzten Dateiendung analysieren, überlistet werden; eine Datei "malicious.asp;.jpg" würde auf dem Server dann als .asp-Datei ausgeführt.

Betroffen sind Dalilis Angaben zufolge die IIS-Versionen 6 und früher. Der Sicherheitsdienstleister Secunia hat die Lücke inzwischen für einen Windows Server 2003 R2 SP2 mit IIS 6 bestätigt. Anders als Dalili, der von einer "hochkritischen" Lücke ausgeht, stuft Secunia die Schwachstelle als "less critical" ein, die zweitniedrigste Stufe in der Secunia-Sicherheitslücken-Hierarchie. Das Internet Storm Center befürchtet jedoch, dass die Schwachstelle schon bald in großem Stil ausgenutzt werden könnte, um in Netzwerke einzudringen. Solange es keinen Patch gibt, sollten Webmaster die Ausführung von Code in Upload-Verzeichnissen generell unterbinden. (pmz)