W Microsoft Internet Information Services (IIS) stwierdzono powa�n� luk� umo�liwiaj�c� przemycenie i wykonywanie zdalnie z�o�liwego kodu.

Luka dotyczy systemu przetwarzania rozszerze� nazw plik�w na serwerze WWW, kt�ry jest g��wnym sk�adnikiem Microsoft IIS.

Zazwyczaj aplikacje sieci Web s� tak napisane aby odrzuci� pr�by pobrania plik�w wykonywalnych np z rozszerzeniami .asa, .asp, .aspx czy .cer. Tymczasem okaza�o si�, �e dodanie do oryginalnej nazwy po �redniku bezpiecznego rozszerzenia powoduje przepuszczenie ka�dego pliku. Przyk�adowo plik o nazwie plik.aspx;.jpg b�dzie uwa�any za plik zawieraj�cy tylko bezpieczn� grafik�.

Jednak�e sam plik zostanie potraktowany jako wykonywalny. Zdaniem specjalist�w z firmy Secunia luka wyst�puje we wszystkich wersjach serwera IIS. Pod wzgl�dem niebezpiecze�stwa oceniono j� na dwa punkty z pi�ciu, chocia� eksperci nie zgadzaj� si� z tak nisk� ocen�.

W grudniu, na ca�ym �wiecie a� 21.03% wszystkich serwer�w nale�a�o do Microsoft IIS.

�r�d�o: compulenta