Microsoft IIS

Продукт
Название базовой системы (платформы): Windows NT
Разработчики: Microsoft
Дата последнего релиза: 2019/02
Технологии: Корпоративные порталы

Содержание

2022: «Лаборатории Касперского» обнаружила сложно детектируемый бэкдор SessionManager

Эксперты «Лаборатории Касперского» обнаружили сложно детектируемый бэкдор SessionManager. Он позволяет получить доступ к корпоративной ИТ-инфраструктуре и выполнять большой спектр вредоносных действий: читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами. Об этом компания «Лаборатории Касперског» сообщила 1 июля 2022 года. лоумышленники внедряют зловред дистанционно в виде модуля для Microsoft IIS. Подробнее здесь.

2019: Устранение уязвимости

21 февраля 2019 года стало известно, что компания Microsoft исправила в своей технологии для web-серверов Internet Information Services (IIS) уязвимость, позволяющую вывести из строя компьютер. С ее помощью злоумышленник может вызвать стопроцентную загрузку центрального процессора, заставив IIS обрабатывать особым образом сформированный запрос HTTP/2, и тем самым спровоцировать отказ в обслуживании.

В уведомлении Microsoft, в определенных обстоятельствах при обработке HTTP/2 набор серверов IIS загружает ЦП на 100% и может вызвать замедление, а то и вовсе прекращение работы компьютера.

Проблему обнаружил специалист компании F5 Networks Галь Гольдштейн (Gal Goldshtein). На февраль 2019 года никаких иных описаний уязвимости помимо официального уведомления Microsoft не существует. Как уточняется в уведомлении, спецификация HTTP/2 позволяет клиенту установить любое количество фреймов SETTINGS с любым количеством параметров SETTINGS. В некоторых случаях слишком большое число SETTINGS может сделать работу сервисов нестабильной и вызвать временный резкий скачок нагрузки на ЦП до тех пор, пока не истечет время соединения.

Microsoft исправила проблему, реализовав возможность устанавливать лимит на количество параметров SETTINGS в запросе HTTP/2, которое IIS в состоянии обработать. Уязвимость была исправлена на этой неделе с выходом обновлений KB4487006, KB4487011, KB4487021 и KB4487029. Ограничение на количество параметров SETTINGS не является предустановленным, и после развертывания патчей системные администраторы должны установить его самостоятельно[1].

2010

Набор серверов для нескольких служб интернета от компании Майкрософт. IIS распространяется с операционными системами семейства Windows NT.

На август 2010 года основным компонентом IIS является веб-сервер, который позволяет размещать в интернете сайты. IIS поддерживает протоколы HTTP, HTTPS, FTP, POP3, [[SMTP Simple Mail Transfer Protocol - Простой протокол передачи почты |SMTP]], NNTP.

Примечания



СМ. ТАКЖЕ (17)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Битрикс (4, 39)
  WebSoft (ВебСофт Девелопмент) (1, 6)
  Microsoft (3, 4)
  Корус Консалтинг (3, 3)
  Oracle (2, 2)
  Другие (8, 9)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Битрикс24 - 3 (3, 0)
  Другие 0