Развод на бабки от MS.

 
+
-
edit
 

Balancer

администратор
★★★★☆
Компания Microsoft опубликовала на сайте своей службы поддержки инструкцию по созданию программы, позволяющей обойти защиту веб-сервера Internet Information Services (IIS), сообщает The Inquirer.

Злоумышленник может воспользоваться ошибкой в библиотеке Webhits.dll, входящей в IIS, для доступа к закрытым документам в обход идентификации. Ошибка относится только к IIS версий 5.х. На данный момент исходный код программы, использующей ошибку, уже удален с сайта Microsoft. Тем не менее, пока не существует обновления для IIS, исправляющего эту ошибку.

Для защиты от хакеров Microsoft рекомендует обновить IIS до версии 6.0. Этот программный комплекс поставляется только в комплекте с серверной операционной системой Windows Server 2003, самая дешевая версия которой стоит около 800 долларов.

// Lenta.ru: Интернет: Microsoft рассказала хакерам про ошибки в приложениях Windows
 


Прямая ссылка на указанное: Компонент выделения вхождений служб индексирования может сделать возможным непредвиденный доступ к содержимому узла служб IIS‎‏‎

Найдено на Форум - Talks - Microsoft бъётся в конвульсиях...

В общем, суть развода простая. Вот всему миру эксплойт под IIS 5. Чинить мы его не будем (скорее всего починят, но сильно позже). Покупайте IIS 6 от $800, там такого бага нет... (подразумеваем "но после выхода IIS 7 ждите таких же отчётов по IIS 6"?)
 

hcube

старожил
★☆

Покажите мне человека, который пользует ИИС и АСП ;-). Помнится мне, под виндой замечательно работает апач ;-).
Убей в себе зомби!  
+
-
edit
 

Balancer

администратор
★★★★☆
Апач под виндой - куда большее извращение, чем IIS :D

А так -
 
+
-
edit
 

Balancer

администратор
★★★★☆
На Авиабазе же "свои" ресурсы (в т.ч. форум) раздаёт lighttpd, а виртуальные хостинги - apache2 с mpm-itk.
 
+
-
edit
 

23AG_Oves

втянувшийся

hcube> Покажите мне человека, который пользует ИИС и АСП ;-). Помнится мне, под виндой замечательно работает апач ;-).

У нас Exchange 2k3 рабртает на w2k, соответственно OWA работает на IIS 5.0. Но у нас OWA открыто во внешний мир не смотрит, для аутентификации сначала используется ещё система с OTP. А по сути - это принуждение переходить на следующие версии, хотя и старые работают вполне нормально. Т.е. такое западло. Это вообще свойственно м-софту - надо ж кормиться самому бедному человеку на свете.
Дизель экономит не деньги, дизель экономит горючее. (с) неизвестный дизелевод.  
+
-
edit
 

Mishka

модератор
★★☆
Э-э-э, не сказать, что я люблю MS, но IIS 5.0 рассматривается как часть W2K. А для последнего в штатах

Microsoft Support Lifecycle

Help and support with Microsoft product lifecycle guidelines. Service pack, security update, and general mainstream and extended support resources.

// support.microsoft.com
 


Products ReleasedGeneral Availability DateMainstream Support RetiredExtended Support RetiredService Pack RetiredNotes
Windows 2000 Server3/31/20006/30/20057/13/2010  

Для России — Поддержка Microsoft
Products ReleasedGeneral Availability DateMainstream Support RetiredExtended Support RetiredService Pack RetiredNotes
операционная система Microsoft Windows 2000 Server31.03.200030.06.200513.07.2010  

Т.е. нормальная поддержка кончилась почти два года назад. Кто-то заплатил за расширенную поддержку? Табличка была опубликована много лет назад.

Кстати, а кто-то поддерживает ядро для линя 1.8, а то сволочи обновлятся заставляют. :P И Апач, тоже сволочи, 1.0 перестали поддерживать.
 
+
-
edit
 
+
-
edit
 

Mishka

модератор
★★☆
Лента вру совсем завралась — где на сайте поддержки информация по экплоиту? Там сообщение, что да, дырка — рекомендация обновится на 6-ку.
 
+
-
edit
 

Mishka

модератор
★★☆
Пока не точные сведения, но узнал у своих — у кого расширенная поддержка, у того проблем, вроде, нет.
 
LT Bredonosec #08.06.2007 23:38
+
-
edit
 

Bredonosec

аксакал
★★★☆
между прочим, сообщество продолжает 98 поддерживать =)))
А не только 2000 =))
 
US Mishka #08.06.2007 23:55  @Bredonosec#08.06.2007 23:38
+
-
edit
 

Mishka

модератор
★★☆
Bredonosec> между прочим, сообщество продолжает 98 поддерживать =)))

Сообщество может продолжать, если ММ наезжать не будет. :)

Bredonosec> А не только 2000 =))

Только зачем жалиться на то, о чём было сказано задолго до наступившего момента?
 
LT Bredonosec #09.06.2007 00:08
+
-
edit
 

Bredonosec

аксакал
★★★☆
ну, положим, на мсфн пока вполне свободно. Собственно, там более всего.

насчет "жалиться" -
скажем так, fool me once - shame on u. Fool me twice - shame on me.
В смысле, один раз нагадили - нагадят и повторно, т.е., лучше от них не зависеть.
 
US Mishka #09.06.2007 00:15  @Bredonosec#09.06.2007 00:08
+
-
edit
 

Mishka

модератор
★★☆
Bredonosec> ну, положим, на мсфн пока вполне свободно. Собственно, там более всего.

А что такое МСФН?

Bredonosec> насчет "жалиться" -
Bredonosec> скажем так, fool me once - shame on u. Fool me twice - shame on me.
Bredonosec> В смысле, один раз нагадили - нагадят и повторно, т.е., лучше от них не зависеть.

Чего-то тебя не туда понесло. Кто обмнанул, кого обманул? Lifecycle публикуется в момент выхода продукта. Кто виноват, что народ не читает? Почему отсутствие поддержки ядра 2.0 ты не считаешь за обман? А фряхи 1.8? А Апача 1.0? Чем это отличается от 98 и 2000? Так 5 лет поддерживали. А те дай Бог — два года.
 
LT Bredonosec #09.06.2007 02:41
+
-
edit
 

Bredonosec

аксакал
★★★☆

HOTFIXES: Windows XP SP2 & Windows 2000 SP4

YOUR ONE STOP POST FOR WINDOWS CRITICAL UPDATES! The following is a complete list of all critical HotFixes (patches) along with download link an...

// www.msfn.org
 


MicroSoft Forum Network

>Чего-то тебя не туда понесло. Кто обмнанул, кого обманул? Lifecycle публикуется в момент выхода продукта. Кто виноват, что народ не читает?
Миш, речь идет не об окончании поддержки. А о данном (см первый пост) факте: производитель, желая вынудить пользователей совершить покупку, публикует уязвимость, оставляя её открытой. То есть, идлет давление.
Представь, ты купил сейфовую дверь с дико дорогим мультилоком, а лет через 7 (как раз когда гарантия кончилась) продавец начинает распродажу мастер-ключей/отмычек, подходящих к дверям как у тебя.
Какие претензии? Купи новую дверь (новый замок) - к ним мастер-ключ/отмычка не подходит!

теперь надеюсь, прояснил, о чем я? =))
 
LT Bredonosec #09.06.2007 02:42
+
-
edit
 

Bredonosec

аксакал
★★★☆
ссылку из закладок взял - на стартовую сам пройдешь =))
 
US Mishka #09.06.2007 03:48  @Bredonosec#09.06.2007 02:41
+
-
edit
 

Mishka

модератор
★★☆
Bredonosec> Миш, речь идет не об окончании поддержки. А о данном (см первый пост) факте: производитель, желая вынудить пользователей совершить покупку, публикует уязвимость, оставляя её открытой. То есть, идлет давление.

Советую всё-таки сходить на страничку ММ и поискать уязвимость. Прежде чем что-то утверждать

Bredonosec> Представь, ты купил сейфовую дверь с дико дорогим мультилоком, а лет через 7 (как раз когда гарантия кончилась) продавец начинает распродажу мастер-ключей/отмычек, подходящих к дверям как у тебя.

Аналогия не верна. Верна будет другая. Купил сейф с электроным замком. С гарантией на 5 лет. После 7 лет алгоритм взломали, производитель опубликовал статью о том, что замок взломали.

Bredonosec> Какие претензии? Купи новую дверь (новый замок) - к ним мастер-ключ/отмычка не подходит!

именно так. Холодильник, телевизор — любой ремонт после гарантии — за деньги. Какие претензии.

Bredonosec> теперь надеюсь, прояснил, о чем я? =))

Не-а. Ты не разобрался в ситуации, а поверил журноламерам. Сходи по оригиналам, а не на ленту.вру.
 
US Mishka #09.06.2007 03:54  @Bredonosec#09.06.2007 02:42
+
-
edit
 

Mishka

модератор
★★☆
Bredonosec> ссылку из закладок взял - на стартовую сам пройдешь =))
Это не интересно. Там для не для 98 ссылки на сам ММ.
 
+
-
edit
 

Balancer

администратор
★★★★☆
Mishka> Т.е. нормальная поддержка кончилась почти два года назад. Кто-то заплатил за расширенную поддержку?

Интересно, в расчётах стоимости поддержки Windows-решений, которые у MS часто обходятся дешевле аналогичных Linux они учитывают такую, вот, необходимость периодической выплаты за обновление как ОС так и всех компонентов? :D

Mishka> Кстати, а кто-то поддерживает ядро для линя 1.8, а то сволочи обновлятся заставляют. :P И Апач, тоже сволочи, 1.0 перестали поддерживать.

Так обновления-то нахаляву, сэр :) Вот на Авиабазе весь софт вообще автоматом обновляется. Всегда самые последние стабильные версии стоят.

А в случае MS, виш, такое уже не катит... Время от времени придётся покупать новую ОС со всеми прибабахами и полностью обновлять весь сервер. Ужос :)
 
+
-
edit
 

Balancer

администратор
★★★★☆
Mishka> Э-э-э, не сказать, что я люблю MS, но IIS 5.0 рассматривается как часть W2K.

Кстати, а как на это антимонопольный комитет смотрит? Эдакая привязка совершенно как бы из разных областей продуктов.

Типа, Хот-Доги только с Пепси, но никак не с Кокой :)
 
+
-
edit
 

Balancer

администратор
★★★★☆
Mishka> Лента вру совсем завралась — где на сайте поддержки информация по экплоиту? Там сообщение, что да, дырка — рекомендация обновится на 6-ку.

Разве инфы на Компонент выделения вхождений служб индексирования может сделать возможным непредвиденный доступ к содержимому узла служб IIS‎‏‎ недостаточно для немедленного изготовления эксплойта?

Или ты хочешь, чтобы MS у себя на сайте ещё и готовые эксплойты выкладывала?? :D
 
+
-
edit
 

semen

втянувшийся

Balancer> Время от времени придётся покупать новую ОС со всеми прибабахами и полностью обновлять весь сервер. Ужос :)

А них есть вот такая — платная, ессно — штука: http://www.microsoft.com/Rus/.../volume/SoftwareAssurance/Default.mspx, которая включает Оперативный доступ к новым продуктам и технологиям
 
+
-
edit
 

23AG_Oves

втянувшийся

Mishka> Т.е. нормальная поддержка кончилась почти два года назад. Кто-то заплатил за расширенную поддержку? Табличка была опубликована много лет назад.
Mishka> Кстати, а кто-то поддерживает ядро для линя 1.8, а то сволочи обновлятся заставляют. :P И Апач, тоже сволочи, 1.0 перестали поддерживать.

Не, дело не в поддержке - она не нужна. Наружу открыто у нас только апачи смотрят. Если действительно была опубликована уязвимость и способ её использовать - то это западло однозначно. А так, по ссылке англоязычной посмотрел - ничего особенного.
Дизель экономит не деньги, дизель экономит горючее. (с) неизвестный дизелевод.  
LT Bredonosec #09.06.2007 17:02  @Mishka#09.06.2007 03:48
+
-
edit
 

Bredonosec

аксакал
★★★☆
Mishka> Советую всё-таки сходить на страничку ММ и поискать уязвимость. Прежде чем что-то утверждать
Mishka> Не-а. Ты не разобрался в ситуации, а поверил журноламерам. Сходи по оригиналам, а не на ленту.вру.
На данный момент исходный код программы, использующей ошибку, уже удален с сайта Microsoft.
 

Теперь можно говорить, что и не было никогда :)

Bredonosec>> Представь, ты купил сейфовую дверь с дико дорогим мультилоком, а лет через 7 (как раз когда гарантия кончилась) продавец начинает распродажу мастер-ключей/отмычек, подходящих к дверям как у тебя.
Mishka> Аналогия не верна. Верна будет другая. Купил сейф с электроным замком. С гарантией на 5 лет. После 7 лет алгоритм взломали, производитель опубликовал статью о том, что замок взломали.
С описанием/инструкцией, как именно. :)
>Это не интересно. Там для не для 98 ссылки на сам ММ.
Надо на конкретно с/паки для 98? Ну пожалст..


QIP.RU: почта, поиск, новости, знакомства, игры и развлечения

|MG| UNOFFICIAL Windows98 SE Service Pack 2.1a Download

... Download UNOFFICIAL Windows98 SE Service Pack 2.1a ...

// www.majorgeeks.com
 


Download Unofficial Windows 98 SE Service Pack 2.1a Free - Unofficial Windows 98 SE Service Pack contains all Windows 98 SE updates from WindowsUpdate site and more - Softpedia


- опять же, исключительно из закладок.. Даж на руборд в тему насчет 98 за ссылками не полез.
//кста, последняя - от Ивана Федоренки - полностью пересобранное ядро (изначально добавлено нужное, отрезано ненужное, модульная конструкция сборки, т.д.) Сам пользую некоторые его компоненты - доволен. :)
 
+
-
edit
 

Mishka

модератор
★★☆
Balancer> Кстати, а как на это антимонопольный комитет смотрит? Эдакая привязка совершенно как бы из разных областей продуктов.

Э-э, он позиционировался как серверный продукт. И доступен только на нём. Для других версий серверов — другие версии. Т.е. здесь нет чистой привязки. И Апач можно поставить.

Balancer> Типа, Хот-Доги только с Пепси, но никак не с Кокой :)

Нет, у нас вы можете купить хот-дог. И хот-дог с пепси, а не с колой. Это совершенно нормально. Более того, редко в каком заведении (ресторанчике) ты можешь купить и колу, и пепси.
 
+
-
edit
 

Mishka

модератор
★★☆
Balancer> Разве инфы на Компонент выделения вхождений служб индексирования может сделать возможным непредвиденный доступ к содержимому узла служб IIS‎‏‎ недостаточно для немедленного изготовления эксплойта?

Ну, давай, быстренько составь. :P А я посмотрю. Это опубликовано в стиле центра по безопасности при Карнеги.

Balancer> Или ты хочешь, чтобы MS у себя на сайте ещё и готовые эксплойты выкладывала?? :D

Так потому на первое сообщение я так и отреагировал.
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru