세미콜론을 이용한 IIS 0-day 는 관리자의 실수?
2009/12/30 13:14
얼마 전부터 커뮤니티나 보안 블로그 등에 올라오는 제로데이가 있습니다. IIS 에서 업로드 필터를 우회하여 asp, php 같은 파일들을 올리는 취약점입니다. 아래 글에 자세하게 설명되어 있네요.
MS IIS 파일 확장자 처리오류 취약점 주의 :: http://hacked.tistory.com/438
그리고 어제 MS 에서 이에 대해 글을 올렸네요.
Results of Investigation into Holiday IIS Claim :: http://blogs.technet.com/msrc/archive/ ··· aim.aspx
한 마디로 말하면, 자신들은 모든 취약점을 패치했고, 이것은 취약점이 아니다라는 내용입니다. 단지, 관리자의 책임이라는 얘기이네요. 그러면 앞으로 패치 하겠다는 건지, 안 하겠다는 건지...
아무튼 이 제로데이에 의한 피해를 예방하는 방법은 위 두 글에 자세한 설명이 있습니다. 그러므로 IIS 서버를 관리하는 분들은 꼭 참고하시기 바랍니다.
"0x04 Web RCE" 분류의 다른 글
| Textcube v1.8.5 XSS Vulnerability on RSS Reader | 2011/04/16 |
| Directory Traversal in Apache2 | 2011/02/19 |
| Adobe 0-day 취약점을 이용한 Mass Injections (via Websense) | 2010/06/16 |
| HDCON 2009 예선 Stage 1 - 플래시(SWF) 리버싱 | 2010/06/11 |
| Internet Explorer 6, 7에서 0-day 나왔다네요. | 2009/11/22 |
Trackback Address:http://hisjournal.net/blog/trackback/299
관리자 책임이므로 관리자패치...? ㅋ
헐...