4127
www.f-secure.com/weblog/archives/00001427.html Más de medio millón de servidores web de Microsoft, incluyendo servidores de Naciones Unidas y del gobierno de UK, han sido víctimas de una inyección SQL. El ataque inserta javascript malicioso que apunta a los clientes a los servidores nmidahena.com, aspder.com o nihaorr1.com, que usan otro set de exploits para instalar un troyano en el ordenador del cliente. Los usuarios de Firefox con NoScript estamos seguros contra el exploit de cliente, pero los administradores de servidores Windows tienen que estar alerta. Sigue en #1
menéame
(a ver si ruedan cabezas por estar usando IIS)
Sysadmins windowseros corriendo en círculos y llorando: forums.iis.net/t/1148917.aspx?PageIndex=1
Relacionada: www.encyclopediadramatica.com/Pwn3d
Firefox: www.mozilla-europe.org/es/products/firefox/
NoScript: noscript.net/
Descargar en noscript.net/getit
Ubuntu: www.ubuntu.com/
Descargar en www.ubuntu.com/getubuntu/download
Edit: We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
We have a new world record.
Microsoft 0
La noticia deja claro que no es una vulnerabilidad de IIS y además el titular es erroneo, no son "servidores web de microsoft", en todo caso de empresas que usan algunos productos de microsoft.
Lo peor es que en la Universidad no les enseñan (y los estudiantes no les preocupa) programar teniendo en cuenta la seguridad, todo se reduce para ellos a la pantalla de usuario: y contraseña: , no tienen ni idea de cifrarcomunicaciones, ni de SSL, ni Kerberos, y coincidencialmente cuando les pregunté como solucionaban el problema de ¿Inyección SQL? la respuesta fue: ¿qué es eso?
www.elmundo.es/navegante/2008/04/21/tecnologia/1208774509.html
Ah! Y una España más pobre, más inculta, menos o nada libre y a las puertas de la creación de la policia del pensamiento y la instauración un neofeudalismo digital sin vuelta atrás.
Pero eso... ¿a quién le importa, verdad?
El hombre es el único animal que tropieza n veces con la misma piedra cuando n tiende a infinito. Por fuerza tenemos que ser masocas.
www.apache.org/
que quieres decir con eso? meneame.net/story/hay-mirar-logos-desde-todos-angulos-si-no-eng
En eso les hemos ganado siempre de calle... Basta con ver todos los sistemas de reportes de bugs que existen para software libre y el clásico oscurantismo de Microsoft...
Las estadísticas rara vez mienten, pero siempre dicen lo que le interesa a quien las encarga. Y si además se las maquilla pueden hacer fácilmente que un oyente incauto saque conclusiones disparatadas debido a la visión deformada que éstas le han dado.
¿Cómo explicarle qué son los colores a alguien que ve en blanco y negro? ...o la visión tridimensional a un tuerto congénito?
(Para Micro$oft, no para las pobres víctimas)
Y la noticia como bien dices no es culpa de los servidores web de Microsoft.
Se admiten apuestas.
alguien me lo explica mejor
PD: Eso no quita que la noticia este un poco amarillista, que el Ubuntu de #1 no haya tenido fallos de record como el de los discos duros.
En un ejemplo sencillo, esta sería una URL "normal" a un sitio web solicitando que se muestre un dato concreto:
www.sitio.com/pagina.asp?codigo=123
(en la misma se solicita a la página.asp que recupere de la base de datos la información referente al producto 123)
Para realizar la inyección SQL el "asaltante" agrega a la URL un punto y coma, usado para separar sentencias SQL, y tras el mismo añade/inyecta una nueva sentencia SQL:
www.sitio.com/pagina.asp?codigo=123;drop%20tabla
(que en este caso borra toda la tabla)
En el presente caso, el ataque se produce con una sentencia SQL muy elaborada que afecta a los servidores MS SQL Server (que generalmente son utilizados por el IIS). Esta sentencia, y ahí en mi opinión está gran parte del fallo, accede directamente a las tablas de sistema de la base de datos, averigua los nombres de las tablas y procede a insertar en todos los campos de texto una etiqueta de <script> con su fuente (src) apuntando a un archivo malicicioso javascript que procede a explotar diversas y conocidas vulnerabilidades en los navegadores.
Un segundo fallo estriba en que se permita acceder a los datos de sistema en el MS SQL Server. Ignoro si por defecto es la configuración de este servidor (en caso de que lo sea es un fallo muy grave) o bien es una mala costumbre de los programadores de acceder a la base de datos con privilegios elevados.
Un tercero, culpa de los programadores, es no comprobar exhaustivamente todos los datos de las peticiones que llegan al servidor antes de operar con éllos sobre la base de datos.
(correcciones y/o puntualizaciones sobre lo brevemente expuesto son bienvenidas
Ah, espera, que si que existen...
Por favor, si yo me salgo de una curva a 200Km la culpa es mía no del fabricante del coche. Más amarilla no podría ser y con esta ya van no se cuentas hoy como la del que murió por el redbull y no por el pequeño defecto que tenía en el corazón.
www.genbeta.com/2007/10/31-ubuntu-no-esta-acortando-los-discos-duros-d
PD: Con esto no quiero decir que no haya habido bugs gruesos en GNU/Linux. Hace poco hubo una escalada de privilegios fácil con un exploit público. Eso sí, hubo un workaround rápido y las distros importantes lo parchearon en unas 15 horas como mucho (Debian en apenas una o dos).
La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase.
Amarilla amarilla.
Al ritmo que se menean noticias imprecisas o sesgadas como veo ultimamente, al final el dicho "meneame es un saco" se va a quedar corto. Esto cada vez parece mas el Tomate de la informática.
Estoy harto de que me vengan los clientes, después de haber ido a que les vendan la moto en una de las conferencias mega-tecno-chachipiruli, comentandome que el sql server de microsoft es más seguro que --insertar aquí servidor sql no-microsoft-- y que merece la pena, que no hay tantos bugs...
#44: si, la mayoria lo son, 4 real
#46: "La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase."
supongo que por ese comentario tengo que deducir que tus webs son una puta hez, dame las urls y añadire un par de zombis a mi botnet
UPDATE: We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
Para los amantes del noscript, que para mi es un mal parche, la versión para Internet Explorer y sin plugins:
Menú herramientas -> opciones de internet ->Pestaña seguridad -> Botón nivel personalizado -> en la lista buscas "automatización - active scripting" y ahí o lo bloqueas o marcas "preguntar".
Eso para el IE 7, en el IE6 se llama "automatización de los subprogramas de Java".
Una explicación más completa y con opción de agregar sitios a una lista blanca: www.vsantivirus.com/faq-sitios-confianza.htm .
P.D: el noscript es un mal parche porque el javascript es algo que existe y es bueno si se usa bien así que o se permite de forma segura o no se permite y desaparece pero no se bloquea para ver medio páginas.
#1 menso meterte con los sysadmin de windows y arregla tu web, que no chuta y da un error vergonzoso de publicar.
¿qué pueden hacerle al usuario?
¿qué vulnerabilidades hay que afecten a un usuario con la última versión de Firefox pero no a los que usan no script? ¿Dónde puedo encontrar más información de esto?
La cuestión es del programador, debió haber previsto las posibilidades de inyectar código en su programa,
para ello se debe aplicar tecnicas d programación d seguridad sean de ASP ASPx o PHP..
Es amarillista esta noticia.