IIS 6.0 WebDav Güvenlik (Remote Auth ByPass) Zafiyeti

19 Mayıs 2009’da IIS 5.0 ve 6.0’a yönelik bir güvenlik zafiyeti yayınlanmıştı. Buna göre, şifre ile korunan klasorlerinize, bu açıktan yararlanılarak şifresiz giriş yapılıp, listeleme, upload ve silme gibi işlemler yapılabiliyor. Aşağıdaki adresten zafiyetin nasıl kullanılabildiğini gösteren bir video’ya ulaşabilirsiniz.

http://www.securitytube.net/IIS-WebDav-Vulnerability-in-Action-video.aspx

Her ne kadar IIS 6.0’da WebDAV default olarak kapalı gelse de, Sharepoint vs. gibi uygulamalar için etkinleştirilmesi gereken bir özellik. Henüz bir patch de yayınlanmadığı için konuya dikkat edilmesi gerekebilir.

Zafiyetten etkilenmemek için, WebDAV’ın disable edilmesini ve ya (WebDAV’ı disable edemiyorsanız)  http headerinda,  “Translate: f” ibaresi içeren istekleri engellemeniz  öneriliyor.

IIS sunucularınızın açıktan etkilenip etkilenmediğini aşağıdaki nmap scripti ile tespit edebilirsiniz.

http://nmap.org/nsedoc/scripts/http-iis-webdav-vuln.html

Konuyla ilgili linkler:

http://www.kb.cert.org/vuls/id/787932
http://www.microsoft.com/technet/security/advisory/971492.mspx
http://blog.lifeoverip.net/2009/05/20/microsoft-iis6-webdav-remote-auth-bypass-zaafiyeti/


Nmap ile Conficker Tespiti

Nmap’in yeni sürümü (nmap-4.85BETA5) , Conficker solucanını tespit edebiliyor. Bilindiği gibi solucanın 1 Nisan 2009 tarihinde yeniden aktive olacağı söylenmekte. Bu nedenle kontrollerinizi yapmanız yararınızadır.

Aşağıdaki komutu kullanarak kontrol yapabilirsiniz.

# nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP_ADDRS

Not: IP_ADDR yerine 192.168.1.0/24 gibi bir class belirtebilirsiniz. Bu şekilde ilgili ip networkündeki tüm makineler taranacaktır. Komutun sonuna > /sonuc.txt gibi bir ifade eklerseniz de çıktılar /sonuc.txt dosyasına yazılacaktır.

Temiz bir host için alacağınız sonuç aşağıdaki gibidir.

Host script results:
|  smb-check-vulns:
|  MS08-067: NOT RUN
|  Conficker: Likely CLEAN

Eğer taradığınız sunucuda solucanın bulunması durumunda sonuç şu şekilde görünür.

Yazinin devami icin tiklayin.


Flash Player ClickJacking açığı için upgrade

26 Eylül’de US-CERT tarafından Flash Player’lar için ClickJacking denilen saldırı tipine olanak sağlayan bir güvenlik açığının varlığı duyurulmuştu. Detaylarına US-CERT’in ilgili raporundan ulaşabileceğiniz bu açık, kısaca temiz olduğunu düşündüğünüz ya da tuzak olarak hazırlanmış web sitelerindeki herhangi bir linke tıkladığınızda “aslında başka bir kaynaktaki bir linke tıklamış olmanızın” sağlanması şeklinde cereyan ediyor. Yani saldırgan, web sitelerindeki linkleri istediği şekilde yönetebiliyor ve bilgisayarınızda zararlı kodlar çalıştırılmasını sağlayabiliyor.

Flash Player, hemen tüm browserlarla uyumlu olarak çalıştığı ve internet üzerinde flash content barındıran yığınla site olduğundan dolayı bu açığın kapsama alanı epey geniş. Ayrıca, çok kolay ve çok çeşitli yöntemlerle uygulanabilecek bir saldırıya zemin hazırladığından dolayı önemi daha da artıyor. Bu açığın giderilmesi için bir kaç gün öncesine kadar (15 Ekim 2008) herhangi bir patch vs. yayınlanmamıştı. Sadece flash player’in ayarlarından erişim için bir takım yasaklamalar yapmak öneriliyordu.

Yazinin devami icin tiklayin.


Flash Player Güvenlik Açığı

Flash Player’in önemli bir güvenlik açığı tespit edilmiş. Bu durumdan etkilenmemek için Flash Player’ınızı 9.0.124.0 versiyonuna update etmeniz gerekiyor.

Update edilmemiş bir flash player ile flash içeriğe sahip herhangi bir web sitesi görüntülemeniz durumunda bu exploitten etkilenebilirsiniz.

Ayrıntılı bilgi;
http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue_u_1.html