Речь ESR о недавно обнаруженном backdoor в IIS 5.0

Вот это круто. Ну что, противники OpenSource, что же вы молчите, мать вашу ? Сколько там стоит M$ный дырявый Windows2000AdvancedServer ? И нахрен он такой нужен за килобаксы, если любой школьник может получить root access ? Inprise/Borland уже так заткнула дырку в Interbase после опубликования исходников, которая существовала туеву хучу лет, между прочим и обнаружилась ИМЕННО ПОСЛЕ перевода Interbase в OpenSource !!!!

Ты не понимаешь. Сейчас тебе некоторые граждане будут объяснять, что это не bug, это feature. Вобщем, сначала мы говнимся на тему СОРМ, свободы слова и проч., а потом ставим дырявый софт, раздуваясь от гордости :-)

Щаз придут "некоторые" и все обьяснят. Начнется речь о всяких
авианосцах, холодильниках для кухарок, о том что сами они едут в
микрософт работать и об open protocols... :)) А потом нас еще и
русскому языку поучат :)

Вроде бы что-то похожее было в Personal Web Server - давно, около
года назад что-то похожее где-то читал...
А вы - microsoft, microsoft. Скоро в сапере бэкдоры найдут :)

Блин, этой новости вроде как уже сто лет в обед. По крайней мере на securityfocus ничего подобного не неашел.

Господа:правило хорошего тона:сначало прочитать саму статью,потом коментарии,links на сам baackdoor,а потом разводить дискуссию.Линк про сам backdoor в студию please,a то лаймерством попахивает,вот Переполнение буфера в ISAPI-компоненте Internet Printing начисто прибивает iis 5.0,сейчас сам проверил , помогает патентованное средство от M$ --reboot.

Линк на бэкдор
http://www.eeye.com/html/Research/Advisories/AD20010501.html

To:McGray:идем на твой линк и что мы видим? Windows 2000 IIS 5.0 Remote buffer overflow vulnerability (Remote SYSTEMLevel Access) ты как раз дал линк про ISAPI-компонент Internet Printing. раздницу чувствуешь между словом backdoor и buffer overflow?

Угум, хорошая новость!
Вот ссылочки на источник:
http://www.eeye.com/html/Research/Advisories/AD20010501.html
И на hack_sample:
http://www.eeye.com/html/research/Advisories/iishack2000.c

Дорогой Y3BEK! Почитай что могет сделать http://www.eeye.com/html/research/Advisories/iishack2000.c и начинай нервничать!

На кой черт помещать такие "новости"?! Сейчас сюда припрется Irsi и прочие любители словесного поноса и опять начнется дискуссия на тему кто сильнее слон или кит! Дыры есть во всех продукта! Как говорится в любой программе есть 2 ошибки - одна последняя, а вторая - ненайденная.

а workaround этого backdoor есть? или намечаеться как патч?

To:gdenis Повторяю специально для тебя:это не BACKDOOR а buffer overflow. patch можешь взять у М$ (уже есть) если конечно у тебя есть iis 5.0 P.S посмотри на себя в зеркало и начинай волноваться.

Коментарий к истории:

> Timothy Dyck / eWEEK Labs - Subject: Backdoor report false ( May 15, 2001, 23:30:05 )
>
> The Yahoo story was a resurfacing of a year-old, inaccurate story. The issue was a buffer overflow in a
> Visual Interdev 1.0 component dvwssr.dll. The DLL contained a now-famous encryption key "!seineew era
> sreenigne epacsteN" ("Netscape engineers are weenies!"). This phrase was an encryption key, not a back door,
> and knowing it didn't provide any aditional security priviledges. There was a security flaw (two, in fact), but
> not a back door ( http://www.zdnet.com/eweek/stories/general/0,11011,2551789,00.html ).
>
> In contrast, the IIS 5.0 printer ISAPI remote exploit is real. Details are available at
> http://www.microsoft.com/technet/security/bulletin/MS01-023.asp .

Всегда не любил ESR за его пристрастие к "жареному"...

4Y3BEK
Разница между backdoor'ом и багом в данном случае такая: можно ли баг использовать в практических целях? Если можно - то это backdoor. А вот причины существования бага могут быть самими различными и одна из них - злой умысел. Ты можешь гарантировать, что этот "buffer overflow" не предусмотрен разработчиками из Microsoft?

Полуденный Бес

Как стать хакером

Шаг 1
Полазить по сети и найти уже известные
дыры в IIS

Шаг 2
Составить список интересующих сайтов

Шаг 3
Оставить те что работают на IIS

Шаг 4
Последовательно попробовать каждый
exploit на каждом сайте

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Шаг 10 Ехать на Канары отдыхать

Где-то у меня потерялся линк на
статистику взломов по веб-серверам
и операционкам. Никто не подкинет ?
Так там на долю IIS больше 60% приходится.

Гы-гы, хороший пример того как "сосет" открытый
софт по сравнением с "серъезным" промышленным
софтом.

Все это кривые ручки программеров от М$

Ошибки делают люди(програмисты). Им (програмистам) пофиг под что писать. Вероятность возникновения ошибок (в том числе и фатальных) одинакова для любой ОС. Вам историю про SendMail 8.8.5 (если не ошибаюсь) напомнить. Там такая дыра была, что topic просто отдыхает. Кстати, кривость рук не меряется в какой конторе программер работает.

> Вероятность возникновения ошибок
>(в том числе и фатальных) одинакова для любой ОС.

Да. Но их количество в софте от M$ почему-то
несоразмеримо больше

4 ifconfig

"Кстати, кривость рук не меряется в какой конторе программер работает."
Меряется. В иных конторах кривые руки либо спрямляют, или, если ошибка в генетическом коде, от таких рук избавляются. Иди-ка софт для авиации кривой дланью попиши - моментально эту длань обломают. Но имея весь рынок персоналок в кармане (надо признать очевидное: PC у Microsoft никому не оторвать, просрали платформу) можно творить что угодно, не оглядываясь ни на кого, чем MS с удовольствием и занимается. Отсюда и кривой софт, и профанация среди разработчиков. Потому, что слоган у MS такой: "А куда они, на хрен, денутся?". Вот за что не люблю всей, бляха, душой.

Полуденный Бес

"Вероятность возникновения ошибок (в том числе и фатальных) одинакова для любой ОС." правельно, правдо в опен сурс эти ошибки находят намного чаще, и на стадии выпуска альфы. Многие программисты которые хотят посмотреть критические места программы, сами находят ошибки. Кстати сколько у мс бета тестеров? А чего они тестируют? Уже готовую программу, в которой этот баг могли и не найти, на стадии тестирования. У линух альфа-бета тестерами являются все, причем кто хочет, может посмотреть исходники.

2logIN:

Одна из проблем с ОпенСоурс в том что зачастую проекты не выходят из стадии "альфа"...

4 omerm

"Последняя горесть, а часто и последняя капля, - то, что продукт, на который было положено столько труда, оказывается устаревшим в момент своего завершения (или даже раньше)."
Ф. Брукс "Как создаются программные системы"

"Кстати, ко всем относится."
Министр Администратор "Обыкновенное чудо"

2Y3BEK
А что, в Y3BEK'истане багтрак не ходит? iishack200.c?
Там аккурат с .print проблемы, решаются reverse telnet и установкой патча =)

...и только потом читать лекции благородным дЕвицам, пжалсста. А то ламерством попахивает (C)

Прикол в том, что дырища в IIS5, MS ее упорно называла неважной и требовала поломать в качестве доказательства от противного. Ну dark spyrit и поломал 8-)

А ребут (или IIS restart) как раз _включал_ выключенный вручную админом дырявый компонент =8-[ o ]

2All: Новость, конечно, уже не новость -- соседняя 2000 уже от админа свой стометровый сервиспаск съела. 8-))

2ifconfig: а Вам что, именно этого бинарника в нт не хватает?
8-))

2All again: ура, Spring 2001 в дисковом виде приехал!
(всем, кто хотел: Киев, 4103249, mike@lic145.kiev.ua)

Кстати в Open Source продуктах никак не меньше, если не больше, багов, чем в тех же программах от M$. Более того, доступность исходного кода увеличивает скорость поиска этих самых багов на порядки. И сразу же они(баги) становятся доступны всем.

Я как создатель сетьевого сканера безопасности (SSS www.rsh.kiev.ua)могу сказать что фактически по дырам раньше unix был далеко в переди видны в последнии полгода тенденция такова что 80% новых дыр находят в продуктах работающих под виндой так что гдето 40% юниха против 60% винды- причем из из этих 60% порядка 15-20 только майкрасовских остальное левые продукты под винду Так что гнать на мелких нехер а по скорости исправления они ни чем юниху не уступают P.S. правда последних 2 бага в IIS начинают наводить меня на мысль что последнее мое предложение полная чушь P.S.P.S. только идиот поставит на инет сервер винду - когда есть FreeBSD или QNX и только мазохист поставит на клиент linux когда есть winXP (которую всем рекомендую попробывать - кого воротит интерсейс видны может сделать свой через скины)

2 omerm "Одна из проблем с ОпенСоурс в том что зачастую проекты не выходят из стадии "альфа"..." : Есстественно. Выживают сильнейшие. А ты представляешь сколько проектов умерает внедрах майкрософт?

 А скажите, сколько усилий понадобится для отыскания backdoor в исходниках,
  4 ex.: линуксового ядра, даже если знать, что она там есть? А если профессионал
  старался максимально завуалировать оную? А если понапишите XXX Гбайт
  открытого софта и любой сможет что-либо добавить (подменить), хоть
  заподписывайся?

  GibGres

GibGres> А скажите, сколько усилий понадобится для отыскания backdoor в исходниках,
4 ex.: линуксового ядра, даже если знать, что она там есть? А если профессионал
старался максимально завуалировать оную? А если понапишите XXX Гбайт
открытого софта и любой сможет что-либо добавить (подменить), хоть
заподписывайся?

Минимум в тысячу раз меньшее, чем для отыскания такой бакдоры в закрытой проге.

Окстись.

avp

И это ОЧЕНЬ хорошо. О бэкдорах в open source можно ведь сразу и не сообщать. Поюзать их некоторое время, а потом сообщить. Так с Interbase было после открытия ее кода. Была б закрыта - про бэкдор бы и не узнал никто никогда. А бэкдора в IIS нет. Есть написаная задом наперед строчка "Netscape engineers suck", которая снова всплыла в новостях как "бэкдор". Для тех, кто не втыкает отличия между дыркой в безопасности и бэкдором, поясню: бэкдор - это специально оставленая возможность получения несанкционированного доступа методами, не связанными со взломом (безо всяких overflow и проч.).

Bluesman

статистика взломов ОС. Не претендует на полноту, но картину описывает хорошо:
http://www.attrition.org/mirror/attrition

Для сравнения. Данные за апрель:
Win-NT         877 
Windows 2000   151 
Linux (RedHat) 141 
Linux (unknown distro) 122 

Данные за 13 дней мая:
Win-NT                594
Windows 2000          336 
Linux (unknown distro) 49 
Linux (RedHat)         45 
Linux (unknown distro) 122 

2All: Мдаа... Тут Sergo кричал "Купи и не чертыхайся", Irsi - "админа за 1-2 К$", ручки советовали выпрямить...

Irsi, ты как? Что-то тебя не слышно? Али начальство узнало про SUBJ и решило грохнуть тебя?

Бедненький Irsi. Помянем его душу.

to:gvy
Вы внимательно читать умеете? Я привел Windows 2000 IIS 5.0 Remote buffer overflow vulnerability как аналогию и сказал что с помощью
маленькой програмки(jill.c) завалил соседу iis, и рестарт ему не помог
так что сосед сделал ребут компу,а тут все сразу со своми линками набежали,именно на этот bug.Про patch я уже говорил см. выше мои постинги.Учить я тут ни кого не собирался,а указал на на очевидную ошибку.
A вот Ваш тон и манеры наводят на размышления.
P.S Извините это случайно не под ВАШИМ руководством живет и процветает
www.securityfocus.com ?
P.P.S.Спасибо Вам что расказали мне как правильно нужно ломать iis.

2Bluesman:
>О бэкдорах в open source можно ведь сразу и не сообщать. Поюзать их
>некоторое время, а потом сообщить.
О бэкдорах в closed source тоже сразу не сообщают, а вот пользуются
ними с момента выпуска продукта :)
>Так с Interbase было после открытия ее кода. Была б закрыта - про
>бэкдор бы и не узнал никто никогда
Так ведь знали! Те кто его оставил :)
Или для Вас, Bluesman, счастье в неведеньи?

4 Blusman

"Для тех, кто не втыкает отличия между дыркой в безопасности и бэкдором, поясню: бэкдор - это специально оставленая возможность получения несанкционированного доступа методами, не связанными со взломом (безо всяких overflow и проч.)."

Не говори ерунды. Самая грамотная маскировка backdoor'a - баг. Когда фирмулю - производителя тыкают носом и и начинают обвинять во всяких "черных ходах", она (фирмуля - производитель) тут же заявляет, что никакого злого умысла не было, а был простой недогляд тестеров ПО.
И ничерта с ними не сделаешь.

Полуденный Бес.

4All:
Вот ведь что странно (помимо всего прочего) - комментарии к высказыванию какого-то недоделанного пробирочного манагера из макросакса превращаются в многостраничный флейм, провоцируемый билловыми спермососами. А как только всплывает очередной критичный баг под копирайтом макросакса (и как макросаксу только удаётся придумывать ТАКИЕ смешные баги??? ;-))) ), всех билловых спермососов как ветром сдувает на несколько дней, и всё становится тихо, мирно и скучно... Наверное, действительно они (билловы спермососы) просто-напросто весьма и весьма психически нездоровые личности и удар по макросаксу воспринимают тяжелее, чем личное оскорбление. Бедненькие.

Кстати, заметили??? Irsi (не к ночи помянутый) так и не появился... Его и вправду грохнули?

2R00T: "Не дождетесь сволочи" (с) Старый Абрам...:)

Да тут и без меня весело... А объснять что-то полным идиотам, которые толком статью в багтреке прочитать не могут мне неохота... Да и патчь к этой дыре давно имеется. И black door-ом она по большому счету не является... Так что не интересно...:)

P.S. А значится вчера другой рут был... Жаль, ну ладно...:) Хотя с другой стороны может и ты - сломаный нос на клаве стучать не мешает наверное...:) Или тебя уже из больницы отпустили? :)

Народ, а не пофигу ли вам эта ошибка... год с небольшим живет винда 2000, сурьезные задачи на ней не реализуются , лучше что-то другое взять -- тот же линух, би ос, выкинув из них всякую херню (ее тоже немало), а веб-магазны или вебпорталы совершенно пофигу, на чем реализовывать... Неправильно сделаешь -- IIS или апачи, винды или линух все-равно взломают. Винды 2000 можно через годик начинать юзать и то очень осторожно... Кстати, поюзал маленько пятую би ос, намного любопытнее линуха имха

Полуденный бес - вы параноик, батенька. И как вам только живется - не понимаю.

4 anonymous (*) (2001-05-20 12:15:02.0)

Гы-гы... Отнюдь, я же не сказал, что так оно и есть. Просто это было бы самое грамотное решение.

PS
Паранойя - в иных случаях даже полезна.

Полуденный Бес