Services
Un code capable d'exploiter une faille de sécurité critique, affectant le module FTP (File Transfert Protocol) dans un environnement Microsoft, a été découvert sur un serveur IIS (Internet Information Services) de Microsoft.
La vulnérabilité concernant le FTP permettrait, à la suite de l'activation du module, à un pirate d'installer à distance les logiciels malveillants de son choix et de prendre le contrôle d'un serveur IIS de Microsoft.
Cependant, la faille ne représenterait une menace considérable que pour les utilisateurs de Windows 2000 qui ont recours à la version 5.0 du serveur IIS. Les autres versions seraient aussi affectées, mais dans une moindre mesure, puisque l'exploitation de la faille y serait plus compliquée et elles contiendraient des fonctionnalités rendant la menace moins dangereuse.
Néanmoins, Microsoft rapporte que la faille de sécurité ne s'est pas encore fait exploiter par des pirates et affirme que l'entreprise mène une enquête pour régler le problème. Le centre américain de sécurité et de certification US-CERT suggère toutefois aux administrateurs «de désactiver les accès anonymes en écriture sur le serveur FTP de l'IIS».
(Sources: Computer World et Génération NT)
par Aude Boivin Filion
Bravo pour la proactivité
@ tous les commenteux de BV
Vous avez bien lu? La faille n'est pas encore exploitée, et en plus c'est sur 2000, alors capotez pas!
Windows 2000 ??? Tsé !!!
De toute facon, je ne connais personne qui ose mettre un serveur FTP anonyme en écriture sur Internet...
À quand une nouvelle:
"Faille critique découverte dans Windows 3.1"
Déjà que le support de Win 2000 est sur le point d'échoir.
Si Microsoft laisse tomber le support de Win 2000, tout les serveurs roulant encore sur 2000 Server risque de devenir un vecteur de contamination, Microsoft n'auras pas le choix de maintenir le support, encore pour au moins 10 ans.
@Le Vieux et Spoutnik : La version 2000 de Windows n'est plus suporté depuis 2005, attention seulement les mises à jour ne sont pu suporté. La fin complète par contre est pour bientôt : Juin 2010
.
Petite lecture de chevet :http://www.laboratoire-microsoft.org/n/10953/
@Slayer
Il faut dire qu'a un moment donné "il faut tiré sur la plogue".
Pour mon ENIAC, quand je parle de support, je pense aux barres d'armatures qui empêche l'ordinateur de s'écrouler. Ça c'est du vrai support!
Et pour les mises à jours, je bouge 3-4 fils, remplace une dizaine de tubes défectueux ainsi qu'une coupe de diode à cristal (ouch le portefeuille), une ou deux taloche dans le châssis et c'est reparti.
Le fait est qu'au niveau serveur il y en a encore malheureusement pas mal qui roule win server 2k puisque souvent les admin vont se dire que si ca marche on touche pas.
@ yenamarre
Ou que tu peux pas forcément updater parce que des logiciels tiers sont pas compatible ;)
Chez un client, on a encore une station en NT4, le système qui roule dessus à couté la peau des deux fesses, plus les deux bras et jambe, pis la compagnie qui l'a faites, je crois qu'elle a fait faillite :)
Et aussi, on attendait que win7 sorte, histoire de faire un gros update général. Vu que le réseau est quasiment saturé.
Pis en ce qui concerne les failles
Ya une panique créer dans ce milieux la . Failles exploité et exploitable ? C'est bien beau une faille mais si y'a rien a faire avec ou est le prob ?
De la demi information c'est tout comme de la désinformation . Ya des failles sur SOlaris depuis des lustres et SUN fait rien avec ... la faille bien que accessible donne sur un vide total dans le système , elle n'est pas exploitable . Pis encore la ... faut accéder a la faille en question .. Quand c'est impossible autre que par la console admin sur le poste maitre ... ou est le problème ?
Yen a qui capote en calvince avec les failles c'est temps ci
Je suis un «néophyte».
Est-ce que l'on parle du bogue de l'an 2000 ?
J'écris ceci le 1er sept. 2009.
"Mammman, c'est finiiii "
Entendu ce cri, quelque part..
Le mieux serait de considérer toute os Windows 2000 comme un virus, alors l'antivirus nous en débarrasserait et l'on n'aurait pas à s'en occuper. Je suis certain que Microsoft y a pensé! lol! ;-)
@killedman
En effet. Par exemple j'ai vu certaines applications qui sont critique pour la production, mais dont le développeur de l'application n'a jamais sorti de mise à jour pour une application afin qu'elle fonctionne sur Windows XP/Server 2003. J'aimerais bien les inciter à mettre à jour l'application, si seulement la companie existait encore.
Faut donc trouver une alternative, sauf que des applications d'entreprise ayant une fonction bien spécifique à elle, ça ne se trouve pas si facilement.
@ m-p{3}
C'est la beauté du logiciel fermé ("propriétaire", pour ceux qui aiment ce mot-là ). Quand son créateur n'est plus là pour faire des mises à jour ou simplement pour boucher les trous (failles), ben t'es pogné avec ton application critique-super-importante-et-essentielle-qui-a-coûté-la-peau-des-fesses, et qui roule juste sur win2000.
Avec le libre, quelqu'un d'autre pourrait prendre la relève et continuer de l'améliorer.
@ jmv1
mouiap, mais non.
On a les sources, mais il à été créé en .... VB3 :)
Se qui implique, qu'il faut le RECODER au complet.
ET bien sur la machine dois fonctionner tous les jours, parce que c'est un contrôleur de la production.
Que pour changer le OS, faut changer l'ordinateur, probablement aussi le logiciel qui est installé sur le robot voir changer le robot au complet. :)
Tous ça UNIQUEMENT parce que Microsoft à décidé de tirer la ploque ??
Sans oublié bien sur qu'au Québec, il y a que deux ou trois entreprise qui ont cette machine.
Donc, si je suis ton raisonnement, je dois aller voir tous de suite mon client pour qu'il stoppe son entreprise et débourse 100 000 $ pour mettre à jour une machine qui en n'a pas de besoin ??
Et bien sur, tous ceci est à recommencer dans 2 ans.
Parce que l'entreprise prévois changer le 3/4 de ses systèmes d'ici là .
Les grosses entreprise qui font développer des logiciels spécifiques pour faire tourner lors production ont pas avantage à changer d'OS tous les mois.
@ m-p{3}
T'as tous compris.
