Microsoft bestätigt IIS-Leck

Microsoft zufolge sind die IIS-Versionen 5.0, 5.1 und 6.0 unter Windows 2000, Windows XP und Windows Server 2000 betroffen, nicht jedoch der IIS 7.0 von Vista und Windows Server 2008. Voraussetzung ist zudem, dass der Webserver so konfiguriert ist, dass anonyme Nutzer Schreibzugriff haben, um via FTP Verzeichnisse anlegen zu können. Haben diese lange Namen und enthalten bestimmte Zeichen, lässt sich einer Stack Overflow auslösen.

Microsoft arbeitet an einem Update, nennt aber keinen Termin, wann dieses verfügbar ist. Da bereits ein Exploit für das Leck existiert, listet man verschiedene Workarounds auf, um den Webserver abzudichten. So empfiehlt man, anonymen Usern die Schreibrechte zu entziehen oder, so die FTP-Funktionen nicht benötigt werden, den FTP-Dienst zu deaktivieren. Alternativ dazu genügt es, die NTFS-Berechtigungen so zu setzen, das via FTP keine neuen Verzeichnisse angelegt werden können. (Daniel Dubsky)