dil: (Default)
dil ([personal profile] dil) wrote2005-01-19 04:10 pm
  • Add Memory
  • Share This Entry
Entry tags:

Ненатуралы на марше

"Unfortunately, many firewall administrators go too far. In their attempts at controlling outbound access, they end up preventing outbound access to all protocols except for HTTP or SSL secured HTTP (HTTPS). This prevents remote users from accessing your Exchange Server using secure Outlook RPC connections via ISA Server 2000 Secure Exchange RPC publishing. Blocking secure RPC connections prevents your remote users from benefiting from the full Outlook MAPI client.

Microsoft realized the magnitude of this problem. Their solution is the RPC over HTTP protocol. This protocol allows remote Outlook 2003 clients to connect to Exchange 2003 Servers using HTTP or HTTPS."

Это вместо того, чтобы повышать безопасность своей реализации RPC...

(C) http://www.msexchange.org/tutorials/outlookrpchttp.html
Flat | Top-Level Comments Only

[identity profile] 1master.livejournal.com 2005-01-19 02:40 pm (UTC)(link)
Ну при чем здесь рпц то? Ломают все едино, не рпц, а приложение.

Ну чтобы не быть голословным

[identity profile] dil.livejournal.com 2005-01-19 04:49 pm (UTC)(link)
Это сама реализация RPC: http://www.securityfocus.com/bid/3104
http://www.securityfocus.com/bid/11380
а это конкретно про ихний WebDAV:
http://www.securityfocus.com/bid/11384
ну и до кучи:
http://www.securityfocus.com/bid/7735

Re: Ну чтобы не быть голословным

[identity profile] 1master.livejournal.com 2005-01-20 07:43 am (UTC)(link)
1. Почти год
2. Полгода, и вообще меньше надо желтую прессу читать. Берем из желтой прессы KB ID и идем с ним на MS. Обнаруживаем, что окромя NT4 ничего не vulnerable.
3. Единственный серьезный баг, да и тот опасен DoS, а не exploit. Баг, кстати, в приложении, это хорошо видно из того, что NT4 не пробита (т.е. ломается IIS)
4. Вообще двухгодичной давности. Не говоря о том, что оно тоже WebDAV.

Т.е. имеем 2 бага в RPC из которых один тотально древний, второй забыли пофиксить в древней операционке. А остальное - приложения. О чем, собственно, я и говорил.

[identity profile] 1master.livejournal.com 2005-01-19 02:42 pm (UTC)(link)
А кстати IT в больших компаниях способно иногда мертвого заебать. Последний пример, когда из корпа они отказались реплицировать от нас базу человеческим образом, зато кажные несколько недель они до нас доебываются, чтобы мы ее в виде файла им дали. Так, что я понимаю MS, который делает лазейку от мудаков для юзеров. Только это бесполезно, потом же придется HTTP трафик потрошить, чтобы лазейка закрывалась ;)

[identity profile] dil.livejournal.com 2005-01-19 04:51 pm (UTC)(link)
Они его еще и в HTTPS обещали завернуть. Там не попотрошишь :(

[identity profile] 1master.livejournal.com 2005-01-20 07:46 am (UTC)(link)
Сделают IAS User Agent (кстати кажись у него есть что-то подобное), которое будет потрошить еще до отправки, либо слать на корпоративную проксю вторым потоком то, что она сможет анализировать.

[identity profile] lazyboa.livejournal.com 2005-01-19 05:33 pm (UTC)(link)
Ну, не только поэтому. «HTTP — он через любой прокси пролезает».
Flat | Top-Level Comments Only