Tags: , , , , , , , | Categories: Güvenlik, Haber Posted by Editorial on 03.01.2011 21:34 | Yorumlar (0)

Hoster'ları ilgilendirecek ve henüz yamanmamış Zero Day (Şimdiye kadar gün yüzüne çıkmamış, ilk defa duyulan güvenlik açıklarını tanımlar.) bir güvenlik açığı bulundu.

IIS 7.5.7600.16385 versionun'da Windows 7 ve Windows Server 2008 R2 de geçerli olan bu açıklık IIS 7.5'in FTP Servisinin pre-authentication özelliğinin memory corruption (hafıze bozukluğu) tipinde sömürülmesi ile gerçekleştiriliyor ve sonuçunda ise hizmet cevap veremez (denial of service) hale geliyor.

Microsoft konu ile ilgili bir bilgilendirma yayınlamış : http://blogs.technet.com/b/srd/archive/2010/12/22/assessing-an-iis-ftp-7-5-unauthenticated-denial-of-service-vulnerability.aspx

Konu ile ilgili ayrıntılı bilgiyi aşağıdaki adreslerde bulabilirsiniz.

Tags: , , , , , , , | Categories: Güvenlik Posted by Editorial on 20.12.2010 19:54 | Yorumlar (0)

Hosterların kullandığı servisler'le ilgili güvenlik duyurularını elimizden geldiğince paylaşmaya çalışıyoruz. Linux üzerinde bir çok hoster'ın tercih ettiği ProFTPD uygulamasında Orta seviyeli bir güvenlik açığı tespit edildi.

Kaynak: Security Focus
 
Seviye:  Orta
Bildiri Sürümü: -
Açıklanma Zamanı: 02.12.2010
Yenilenme Zamanı: 03.12.2010
Etkilenen Sistemler: ProFTPD 1.3.3c md5sum 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
ProFTPD 1.3.3c md5sum 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz
 
CVE: -
BID: 45150
Referanslar: Firma Ana Sayfa
http://www.proftpd.org/
SecurityFocus 
http://www.securityfocus.com/bid/45150
Yazar(lar): Daniel Austin
 
Açıklama:

ProFTPD, 28 kasım-2 aralık 2010 tarihleri arasında arkakapı kurulumlu bir ProFTPD sürümünü dağıttı. Sürümün arkakapı kurulumlu olması sunucunun başlangıçta tespit edilmeden daha önce tehlikeli bir duruma düşmesine neden oldu. Saldırganlar zorla siteye girdiler ve kötü niyetli yazılımları siteye yüklediler.

 

Etki: Kötü niyetli yazılım yükleme.
Çözüm: Firma gerekli yamaları yayınlamıştır.

Kaynak : http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/proftpd-arkakapi-yetkisiz-erisim-acikligi.html

Tags: , , , , , | Categories: Güvenlik Posted by Editorial on 02.09.2009 20:16 | Yorumlar (0)

Uzaktan kod çalıştırma

Microsoft IIS FTP sunucusunun klasör isimlerini işlemesinde yığın bellek taşması açıklığı bulunmaktadır. Bu açıklığı kullanan saldırganlar açıklığın bulunduğu sunucu üzerinde uzaktan kod çalıştırabilirler.

Henüz yayınlanmış bir güncelleştirme bulunmamaktadır. İlgili açıklığın kullanımasını engellemek için şu önlemler alınabilir:

1. NTFS dosya izinleri FTP kullanıcılarının klasör yaratamayacağı şekilde ayarlanmalıdır.
2. Anonim kullanıcıların FTP dosya yazma hakkı kaldırılmalıdır.

Etkilenen Sistemler

Microsoft Windows 2000 SP4 - Microsoft IIS 5.0
Windows XP SP2 and Windows XP SP3 - Microsoft IIS 5.1
Windows XP Service x64 Edition SP2 - Microsoft IIS 6.0
Windows Server 2003 SP2 - Microsoft IIS 6.0
Windows Server 2003 x64 Edition SP2 - Microsoft IIS 6.0
Windows Server 2003 with SP2 for Itanium-based Systems - Microsoft IIS 6.0

Kaynaklar

Tags: , , , , | Categories: IIS Posted by Editorial on 23.08.2009 08:58 | Yorumlar (0)

18 Ağustos Salı günü Microsoft İzmir'de ki hoster'lara yeni IIS 7.5'in özelliklerini tanıttı. Eğitim Probil'in Çankaya'da ki ofisinde gerçekleşti. Eğitimi verenler Microsoft MVP'lerinden Daron Yöndem ve Muammer Benzeş ti.

İzmir'in önde gelen bütün hosting firmaları tam kadro katıldı. Katılanlar sırası ile Websahibi, Vargonen Technologies, Hostcini, Smyrna Hosting, Niobeweb ve TeknoAs oldu.

Şimdilik Eğitimde anlatılanları yüzesel olarak değinecek olursak;

IIS 7.5 Hosting Firmalarının sorunlarına çözüm olabilir.

IIS 7.5'in en dikkat çekici özelliklerinden bir tanesi genişletilebilir ve özellştirilebilir Extensions desteğinin gelmesi.
Hosting şirketlerinin yıllardır üçüncü parti yazılımlarla çözebildiği sorunlar extensions desteği sayesinde tamamen çözüme kavuşmuş görünüyor.

Şimdiden bir çok Extensions hem Microsoft hemde partnerleri tarafından yazılmış durumda. http://www.iis.net/extensions adresinden tüm extensionsları görebilir ve ücretsiz olarak kullanabilirsiniz.

İşeyarar Extenstions'lar

IIS Media Services 2.0

Microsoft şaşırtıcı şekilde radikal bir karar alıp Windows Media Services'ı IIS ile entegre etti ve artık bu konseptin üzerine devam edeceğini açıkladı. (iyide oldu hani.) Hemen IIS'ın avantajlarını kullanarak Smooth Streaming, Live Smooth Streaming gibi özellikleri ekleyip Streaming çözümünü bir adım ileriye taşıdı. Bizim testlerimizde performans ve kalite olarak gerçekten çok iyi sonuçlar aldık. Bu konu ile ilgili detaylı bilgileri ilerleyen zamanlarda sizinle paylaşacağız.

FTP 7.5 Daha Stabil

IIS 6'da hep başımızı ağrıtan Microsoft FTP Server'ı artık 7.5'in içinde kuruluma hazır geliyor. Henüz test etme fırsatımız olmadı fakat yeni özellikleri ile işe yarar bir görüntü çizdi bizde.

FTP 7.5 üzerindenki yeni özelliklerden bir taneside PoweShell ile otomatize edilebilir olması. Böylece sistemlerimizi daha iyi otomatize edip iş yükünden kurtulabiliriz.

FTP 7.5 özellikleri hakkında detaylı bilgi için => http://www.iis.net/extensions/ftp

Sunumda kullanılan dosyalar.

http://www.muammerbenzes.com/file.axd?file=2009%2f8%2fIIS7.5.pptx
http://www.muammerbenzes.com/file.axd?file=2009%2f8%2fYeniExtensionlar.pptx
http://www.muammerbenzes.com/file.axd?file=2009%2f8%2fHyperVR2-SCVMMR2.pptx