అన్‌ప్యాచ్ చేయని మైక్రోసాఫ్ట్ ఐఐఎస్ 6 వెబ్ సర్వర్ లోపం మిలియన్ల వెబ్‌సైట్‌లను ప్రభావితం చేస్తుంది

వీడియో: ये कà¥?या है जानकार आपके à¤à¥€ पसीने छà¥?ट ज 2024

వీడియో: ये कà¥?या है जानकार आपके à¤à¥€ पसीने छà¥?ट ज 2024
Anonim

మైక్రోసాఫ్ట్ తన ఇంటర్నెట్ ఇన్ఫర్మేషన్ సర్వీసెస్ వెబ్ సర్వర్ యొక్క పాత సంస్కరణలో సున్నా-రోజు దుర్బలత్వాన్ని పరిష్కరించలేకపోవచ్చు, దాడి చేసినవారు గత సంవత్సరం జూలై మరియు ఆగస్టులను లక్ష్యంగా చేసుకున్నారు. IIS 6.0 ను అమలు చేసే విండోస్ సర్వర్‌లపై హానికరమైన కోడ్‌ను అమలు చేయడానికి దాడి చేసేవారిని దోపిడీ అనుమతిస్తుంది, అయితే వినియోగదారు హక్కులు అనువర్తనాన్ని అమలు చేస్తాయి. ఐఐఎస్ 6.0 లోని దుర్బలత్వం కోసం ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ దోపిడీ ఇప్పుడు గిట్‌హబ్‌లో చూడటానికి అందుబాటులో ఉంది మరియు ఐఐఎస్ 6.0 కి మద్దతు లేదు, ఇది నేటికీ విస్తృతంగా ఉపయోగించబడుతోంది. ఐఐఎస్ యొక్క ఈ సంస్కరణకు మద్దతు గత సంవత్సరం జూలైలో ఆగిపోయింది, దాని మాతృ ఉత్పత్తి అయిన విండోస్ సర్వర్ 2003 కు మద్దతు ఉంది.

వెబ్ సర్వర్ సర్వేలు IIS 6.0 ను ఇప్పటికీ మిలియన్ల మంది పబ్లిక్ వెబ్‌సైట్‌లు ఉపయోగిస్తున్నాయని వెబ్ సర్వర్ సర్వేలు సూచిస్తున్నందున ఈ వార్తలు భద్రతా నిపుణులలో ఆందోళనను పెంచుతున్నాయి. అలాగే, పెద్ద సంఖ్యలో కంపెనీలు తమ సంస్థలో విండోస్ సర్వర్ 2003 మరియు ఐఐఎస్ 6.0 లలో వెబ్ అనువర్తనాలను అమలు చేసే అవకాశం ఉంది. అందువల్ల, దాడి చేసేవారు కార్పొరేట్ నెట్‌వర్క్‌లకు ప్రాప్యత పొందినట్లయితే పార్శ్వ కదలికలను నిర్వహించడానికి లోపాన్ని ఉపయోగించవచ్చు.

GitHub లో ప్రచురించడానికి ముందు, కొంతమంది దాడి చేసేవారికి మాత్రమే హాని గురించి తెలుసు - ఇటీవల వరకు. ఇప్పుడు, చాలా మంది దాడి చేసేవారికి గుర్తించలేని లోపానికి ప్రాప్యత ఉందని ఆధారాలు ఉన్నాయి. భద్రతా విక్రేత ట్రెండ్ మైక్రో దుర్బలత్వం కోసం ఈ క్రింది వివరణను అందిస్తుంది:

రిమోట్ దాడి చేసేవారు IIS వెబ్‌డావ్ కాంపోనెంట్‌లో ఈ దుర్బలత్వాన్ని PROPFIND పద్ధతిని ఉపయోగించి రూపొందించిన అభ్యర్థనతో ఉపయోగించుకోవచ్చు. విజయవంతంగా దోపిడీ చేయడం వల్ల వినియోగదారుడు అనువర్తనాన్ని నడుపుతున్న సందర్భంలో సేవా పరిస్థితిని తిరస్కరించడం లేదా ఏకపక్ష కోడ్ అమలు చేయడం జరుగుతుంది. ఈ లోపాన్ని కనుగొన్న పరిశోధకుల అభిప్రాయం ప్రకారం, ఈ దుర్బలత్వం జూలై లేదా ఆగస్టు 2016 లో అడవిలో దోపిడీకి గురైంది. ఇది మార్చి 27 న ప్రజలకు వెల్లడైంది. ఇతర బెదిరింపు నటులు ఇప్పుడు అసలు రుజువు ఆధారంగా హానికరమైన కోడ్‌ను రూపొందించే దశలో ఉన్నారు- ఆఫ్-కాన్సెప్ట్ (పిఒసి) కోడ్.

వెబ్ డిస్ట్రిబ్యూటెడ్ ఆథరింగ్ అండ్ వెర్షన్ (వెబ్‌డిఎవి) అనేది ప్రామాణిక హైపర్‌టెక్స్ట్ ట్రాన్స్‌ఫర్ ప్రోటోకాల్ యొక్క పొడిగింపు అని ట్రెండ్ మైక్రో పేర్కొంది, ఇది సర్వర్‌లో పత్రాలను సృష్టించడానికి, మార్చడానికి మరియు తరలించడానికి వినియోగదారులను అనుమతిస్తుంది. పొడిగింపు PROPFIND వంటి అనేక అభ్యర్థన పద్ధతులకు మద్దతునిస్తుంది. సమస్యను తగ్గించడంలో సహాయపడటానికి IIS 6.0 ఇన్‌స్టాలేషన్‌లలో వెబ్‌డావ్ సేవను నిలిపివేయాలని కంపెనీ సిఫార్సు చేస్తుంది.

అన్‌ప్యాచ్ చేయని మైక్రోసాఫ్ట్ ఐఐఎస్ 6 వెబ్ సర్వర్ లోపం మిలియన్ల వెబ్‌సైట్‌లను ప్రభావితం చేస్తుంది