Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

"Дыра" в сервере Microsoft оказалась сильно преувеличенной


                                                                                                                     



Корпорация Microsoft, первоначально признавшая наличие в своем ПО "дыры", позволяющей обходить защиту любого сервера на основе MS Internet Server, в пятницу уточнила, что дыра была не дырой, пароль - не паролем, и вообще защиту сервера с помощью этой лазейки обойти нельзя. 

Ранее в четверг газета The Wall Street Journal сообщила, что библиотека под названием "dvwssr.dll", входящая в состав пакета MS Internet Server with Frontpage 98 extensions, может быть использована для несанкционированного доступа к закрытым данным сотен тысяч серверов. Согласно сообщению, для взлома нужно было лишь использовать секретную фразу-пароль, в которой программисты MS подшучивали над конкурентами из Netscape (Netscape engineers are weenies!).

Менеджер центра реагирования на проблемы защиты Microsoft Стив Липнер, признал наличие риска, а также подчеркнул, что такой пароль "абсолютно не в наших правилах" и пообщал, что виновные сотрудники компании будут наказаны. Компания Microsoft рекомендовала пользователям удалить файл dvwssr.dll, генерируемый при установке данного пакета (сервер Microsoft с расширениями Frontpage 98).

Хотя сообщений о том, что предполагаемая лазейка в защите где-то сработала, так и не поступало, целый ряд специалистов высказали серьезные опасения по поводу "дыры". В частности, Расс Купер, ведущий популярного дискуссионного интернет-форума NT Bugtraq, заявил, что проблема затрагивает "почти каждого провайдера веб-хостинга". "Это серьезная угроза, = говорит он. = Ее объектами могут стать очень крупные сайты".

Однако в пятницу, как сообщает Washington Post, компания Microsoft наконец разобралась в проблеме, и тот же Стив Липнер заявил, что "дыра" является скорее "булавочным уколом". Программа из пакета FrontPage 98, о которой шла речь, действительно позволяет пользователю посещать закрытые сайты без введения логинов и паролей. Однако для этого ему нужно сначала получить допуск от системных администраторов данных серверов. В том же случае, если администратор не поддерживает систему, при которой доступ дается только авторизованным пользователям, путешествовать по такому сайту можно и без "дыры".

Что же касается строчки "Netscape engineers are weenies!", то она, скорее всего, вообще не имеет отношения к "дыре", а является просто шуточным комментарием к коду, программистским аналогом граффити.

Lenta.Ru


<== Back to main page