Supersikker webserver hadde gapende hull

I motsetning til Microsoft og Apache skulle Deerfield.coms webserver være fri for sikkerhetshull. De var raske til å tette når det gjaldt.

Deerfield.com er kjent for WinGate og for flere applikasjoner i VisNetic-serien. Intranet.no distribuerer WinGate, samt brannmurserveren og e-postadministratoren i VisNetic-serien, men ennå ikke webserveren VisNetic WebSite. Det vil Intranet.no antakelig gjøre etter hvert som Deerfield realiserer sin visjon om å gjøre VisNetic til en suite, med WebSite som felles plattform.

WebSite er kjent for høy standard innen kryptering og sikkerhet, med støtte for SSL2, SSL3 og TLS, og evnen til å håndtere sertifikater med opp til 2048 biters kryptering. Produktpresentasjonen på nettstedet til Deerfield.com slår videre fast: "VisNetic WebSite har ingen av sikkerhetshullene som forbindes med webservere som [Microsoft] IIS eller Apache, Helt siden starten, da den var den første webserveren utviklet spesifikt for Windows-operativsystemet, har den vist seg å være svært motstandsdyktig mot forskjellige angrep som har plaget andre webservere."

Det forklares videre at WebSite har et avansert system for adgangskontroll, der brukerne lagres i en egen database, og at den ikke støtter typiske Microsoft-opplegg der sikkerheten ofres for økt brukervennlighet.

WebSite er forholdsvis rimelig: Lisensen starter på 300 dollar.

Nå viser det seg at WebSite hadde en type sårbarhet som er ganske typisk, ikke bare for Microsoft og Apache, men også for alle andre. Den danske sikkerhetskonsulenten Peter Kruse skriver i en e-post til digi.no at han gjennomførte en penetrasjonstest for en kunde, og oppdaget et hull som en ondsinnet utenforstående kan utnytte til å stanse programmet, og følgelig også hele nettstedet som WebSite brukes til å drive.

Det var godt gjort av Kruse å finne hullet. For å drepe WebSite kreves nemlig at du sender en lang URL. Den må være av typen OPTIONS/AAA.htm, hvor AAA erstattes av nøyaktig 5001 A-er.

Trøsten er at før den dør, registrerer WebSite avsenderens IP-adresse i sin logg.

Kruse skriver at Deerfield forholdt seg eksemplarisk til avsløringen. Problemet ble rapportert til selskapet 26. november. 4. desember returnerte Deerfield en fiks, og 7. desember ble den lagt ut på nettet som en oppdatering til WebSite versjon 3.5.15.

Skrytet nevnt ovenfor står fortsatt på Deerfield.com. Det er antakelig dekning for påstandene, trass i dette hullet.

Til toppen