MicrosoftのIISに脆弱性、ファイル拡張子の処理に問題 - ITmedia エンタープライズ(情報元のブックマーク数)
ファイル名にセミコロンを入れるとファイル拡張子の制限をかわせるとのこと。
SANS Internet Storm Centerは12月24日、MicrosoftのInternet Information Services(IIS)に、ファイル拡張子の処理に関する脆弱性が見つかったと伝えた。リスクはそれほど高くないとみられるが、Microsoftの公式パッチが公開されるまでの間、回避策を取るよう呼び掛けている。
MicrosoftのIISに脆弱性、ファイル拡張子の処理に問題 - ITmedia エンタープライズ
SANSによると、例えば「malicious.asp;.jpg」のような複数の複数の拡張子を持つファイルを、ASPファイルとして処理してしまう問題があることが分かった。この問題を悪用すれば、攻撃者がファイル拡張子による制限をかわしてWebサーバ上に悪質な実行可能ファイルをアップロードすることができてしまうとしている。