http://www.idg.se/2.1085/1.158700

Vad gör man nu om man sitter på två IIS servrar som idag inte är drabbade (ta i trä) om man vill säkra upp?

Någon som sett något patch eller beskrivning hur man tätar hålet?

SQL injection (om det nu är så det gått till) är ingen bugg i IIS utan beror på dåligt skriven kod och kan drabba alla plattformar.

Citata: "Ryan Sherstobitoff, bolagsstrateg på Panda Security, tror att hackarna utnyttjar en ännu otätad säkerhetslucka i webbservern Microsoft Internet Information Services, som finns inbyggd i flera versioner av Windows, bland annat Windows Server. "

Låter väl som IIS?

Jo. Internet information services = IIS.

De har ändrat lite i artikeln på IDG.se nu:

http://www.idg.se/2.1085/1.158700

Microsoft har väl betalat lite till Panda :)

ja några miljoner dollar så var problemet löst :)

skämt å sido, men det är ju faktiskt tråkigt att microsoft betalar och mutar alla.

sasser: Har du källa för det påståendet?

kan en snabb gissning vara att den gemensamma nämnaren på dessa webplatser är att de körde ett o samma kasst kodade portalsystem eller liknande
jag vet att det finns ett par väl spridda sådana och har man tittat djupare i koden där så blir man mörkrädd

Man installerar snabbt om till ett annat operativsystem och en annan webserver.
Tyvärr, kan inte vara till hjälp här då jag senast sa till Microsoft när dom ringde mig ang. deras "partnerprogram": "Nej, jag skulle hellre låta min syrra aggera manuell webbserver genom MSN än att använda mig av Microsoft produkter till annat än arbetsdator, tyvärr."

Lycka till hur som helst.

Du ser bara till att utveckla på ett sätt som är säkert (sql injections är inte plattformsspecifikt), det är den enda "säkerhetsluckan" det där gratisföretaget Panda har hittat... och så bör du sparka nedåt när alla underdogs här försöker få ner dig i open source träsket. :)

Det säger mycket mer om Panda som företeelse än det säger om Microsoft och det är ju knappast så att MS har mutat Panda för att ljuga ihop en historia, det behövs inte då felet inte ligger i MS produkt i sig.

Väldigt vad konspiratoriska alla var här då... ;-)

Oj vad jag håller med Xamda, jag trodde faktiskt att detta Windows hat hade lagt sig en del efter den senaste tidens mer "öppna världsbild" som iallafall de amerikanska "nördarna" verkar ha fått. Trodde det var Google som var the big bad guys nu.

I vilket fall så är ju IDG rätt kända för att vinkla alla sina artiklar lite anti microsoft så fort dom får chansen och detta har inte ett piss med IIS att göra. SQL Injection är bara amatörer som inte kan skriva kod som drabbas av (tyvärr kan jag väl hålla med om att ASP drog till sig mer amatörer än vad kanske PHP gör) ..

Använd parametrar istället för att bygga ihop strängar när du anropar databasen så är problemet löst.

Om den enda källan är Panda så ställer jag mig frågande till det hela.

Panda är visserligen den mest effektiva mjukvarubrandvägg jag någonsin använt - den kraschade och därmed all internetaccess till skiten avinstallerats. Det var visserligen något år sedan men jag lär av mina misstag.

Panda är också företaget som hittar dubbelt så många virus som resten av företagen i branschen och jag har personligen svårt att tro att det beror på att Panda skulle vara så mycket bättre.

Ett nytt lågvattenmärke för IDG kankse...

Det finns två stora faror du ska passa dig för.

1. SQL-Injections. Se till att verifiera indata, och använd Typsäkrade parametrar så är detta inget problem.

2. XSS, där ett Javascript läggs in på sidan som rapporterar innehållet i Cookies osv till andra platser. Återigen, verifiera indata. Se också till att inte skriva ut text som användare kan påverka direkt på sidan utan att kontrollera innehållet.

Microsoft har faktiskt byggt in skydd för det senare i ASP.NET, varför ett felmeddelande genereras om en användare skulle försöka mata in text i stil med <script type="text/javascript">alert('Jobbig alertruta');</script>

[edit]
Se också till att eventuella felmeddelanden sprutar ut innehållet i konfigurationsfiler eller sökvägar till databaser osv.
[/edit]

Jag misstänker att du kanske inte riktigt menade helt allvar med ditt påstående men om så är fallet får du gärna höra av dig med någon källa :)

Ett ev. problem här skulle många fler kunna både bekräfta och dementera och då försöka betala för någons tystnad låter ovanligt klantigt.

Ms har ju en historik av en del problem med en hel del klientapplikationer men om man kikar på exempelvis Windows 2003 Server och senaste versionerna av IIS har det inte funnits alls samma mängd problem i dessa som i klientapplikationerna.