Panne bei Microsofts DSL-Angebot
Durch eine SicherheitslĂĽcke waren auf dem Webserver von MSN Easysurfer eine Zeitlang Systemdateien von auĂźen lesbar.
Im Rahmen des Online-Dienstes MSN bietet Microsoft seit einiger Zeit auch DSL-Zugänge an. Beim MSN Easysurfer hatte man das Online-Angebot von einem Dienstleister erstellen lassen. Der setzte auf seinem Windows Server 2003 mit IIS 6.0 auf die Skriptsprache PHP -- offensichtlich ohne sich Gedanken über die Sicherheit seiner Skripte zu machen. So nutzten die PHP-Skripte diverse via URL übergebene Parameter ohne jegliche Sicherheitsüberprüfung. Das Resultat: Mit geschickt präparierten URLs ließen sich beliebige Dateien des Systems zu Anzeige bringen. So band die URL
http://access.easysurfer.msn.de/index.php?PAGE=C:\windows\win.ini
die Systemdatei win.ini in die Web-Seite ein.
![Anriss [ 400 x 188 ]](/imgs/18/8/7/6/6/0/96f0b33504d99837.jpg)
Nach der Benachrichtigung durch heise Security beseitigte der Betreiber ISP Service AG die genannten Probleme innerhalb einer Stunde. (ju)
