[Kitetoa, les pizzaïolos du Ouèb

IIS 4.0, le serveur Web de Microsoft a quelques problèmes mis en lumière par eEye...

  nav bar recap admins
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
Cette page n'est plus mise à jour
depuis août 2001
Taijiquan style Haking (dot com)
Sasak style Haking (dot com)
Le Match Kitetoa versus
Ugly Discoursmarketing
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent
...
Nous vous avons beaucoup parlé des serveurs Netscape ces derniers temps. Voici donc un petit topo sur un sujet, attendu depuis quelques semaines, qui vient de tomber et qui concerne le serveur de Microsoft.

eEye est une société de sécurité informatique (une vraie) liée aux technologies Internet. Elle a la particularité d'employer un ami. Nous attendions donc depuis quelques temps la publication officielle d'un bug très impressionnant en raison de ses conséquences possibles. C'est chose faite. Il semble que n'importe quel apprenti pirate du dimanche puisse en quelques instants prendre la main sur la grande majorité des serveurs (90%) IIS 4.0 en service aujourd'hui. Nous vous laissons découvrir les aspects techniques de cette "exploit" sur le site de eEye.

Update du 21/06/99: Une bonne grosse polémique a été lancée par Microsoft qui reproche à eEye d'avoir publié le bug et les moyens de l'exploiter. Microsoft a été prévenu plus d'une semaine avant la publication et n'a pas souhaité collaborer avec eEye. La firme de Seattle a même rompu le contact après 5 jours d'échanges de mails. eEye qui n'avait jusque là donné aucun indice sur ce bug à quiconque (même pas à nous ; ) ) a préféré prévenir les entreprises plutôt que de voir un jour 90% des serveurs IIS 4.0 être backdoorés. C'est un choix qui les honore. Quant à Microsoft, voici ce que pense Weld Pond de cela (et c'est assez bien dit) sur HNN: "The finger here should not be pointed at eEye who did the honorable thing by alerting the public and posting a real fix before Microsoft, but should instead be pointed at Microsoft for creating bad software, and even worse, concealing the information for up to a week." Le détail des échanges entre eEye et Microsoft se trouve sur le site de eEye.

Notez également cette appréciation du travail des sociétés du secteur du software par Art Money, assistant secretary of Defense for command, control, communications and intelligence: "Vendors are not building quality in. We're finding holes in it.The quality of much of the software that DOD is receiving is so poor" that I am worried about the future of the U.S. software industry. Comme quoi il n'y a pas qu'en France...

Il existe deux moyens de vérifier si un serveur est sujet au bug d'eEye et peut donc, dès lors être contrôlé à distance par n'importe quel script kiddie.

Le premier est totalement inoffensif (un peu comme les petits trucs qui nous ont permis de vérifier les erreurs d'installation sur les serveurs Netscape présentés dans ce dossier). Il s'agit juste d'envoyer une demande au serveur via une URL. S'il répond d'un certaine manière (genre "je ne comprends pas ce que vous me demandez"), vous savez que le serveur est sujet au bug. Marc, qui a fortement contribué à la publication de cette histoire nous a donné de petit truc. Merci à lui.

Le second consiste à utiliser "l'exploit" présente sur le site de eEye. Nous n'avons pas utilisé ce bidule. Premièrement, c'est interdit. Deuxièmement, ça n'aurait aucun intérêt. Troisièmement, nous ne sommes pas assez bons en informatique (les fenêtres DOS nous font peur).

Nous avons quand même posé deux questions à l'ami Marc:

Kitetoa: - Do you think big companies that trusted IIS 4.0 will have time to fix this up before script kiddies go after them?

Marc: - Any large company whom cares about security would have seen our initial post to the many security mailing lists and patched their systems right away. It was not until 2 hours after our advisory that the first exploit was written and release and 6 hours after the advisory we released our exploit. Any company who cares about security should have caught the advisory and started patching their servers ASAP.

- How come sysadmins don't see the information as fast as other persons do? I mean there are still lots of servers exposed...

- There definatly are many servers open to attack. There are to many administrators out there who are not involved enough in security. Every company should have at least one employee or a partner company that is involved in security to watch their networks and keep in touch with the security community for the latest holes and security papers.

Nous ne pouvions pas vous livrer ces informations sans dresser une petite liste de serveurs qui, théoriquement, répondent présent deux jours après la publication de cette affaire par eEye.

Note de Kitetoa le 15/07/99: Ce papier a été publié le 17/06/99

Nous sommes retournés faire un tour sur les serveurs listés lors de la publication de ce papier. Notez que Nous avions prévenu les webmestres de ces serveurs... Bah...

www.afb.fr Réparé au 14/07/99
www.gillette.com Non
www.travail.gouv.fr Non
www.interieur.gouv.fr Non
www.lefigaro.fr Réparé au 14/07/99
www.telerama.fr Non
www.decathlon.com Non

Kitetoa

 

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney