Компания Microsoft пытается принизить серьезность непропатченной уязвимости в
веб-сервере IIS 6.0, о наличии которой на прошлой неделе
рассказал один из
исследователей в области безопасности.
В тот раз эксперт Соруш Далили заявил, что недостаточный уровень фильтрации
при обработке названий файлов, содержащих точку с запятой, позволяет загрузить и
запустить на сервере вредоносную активную страницу “.asp”.
Однако в блоге Microsoft Security Response Center представитель софтверного
гиганта Кристофер Будд
подчеркнул, что для успешной реализации сценария атаки требуется, чтобы для
одного и того же каталога на сервере были назначены привилегии записи и
выполнения.
По его словам, такая конфигурация не является для IIS конфигурацией по
умолчанию и не соответствует тем рекомендациям по настройке веб-сервера, которые
были опубликованы Microsoft. Впрочем, несмотря на это, в корпорации
рассматривают возможность внесения в поведение IIS 6.0 необходимых изменений.
