Pablo Weyne - IIS - Microsoft

Pessoal,

A Microsoft lançou junto com o pacote de atualização mensal, o patch para resolver problema de segurança do WebDav. Segue abaixo o link do boletim:

http://www.microsoft.com/technet/security/bulletin/ms09-020.mspx

Ando meio sumido pois estou tirando as certificações para concluir o MCITP: Enterprise Administrator. Logo logo estarei de volta.

Abraços!

A Microsoft divulgou uma falha no IIS 5, 5.1 e 6 (IIS 7 está ok!) para quem possui o WebDav habilitado. O WebDav permite que usuários remotos possam acessar e editar documentos em um servidor Web.

A vulnerabilidade pode permitir que acessos anônimos (sem autenticação) o invasor pode contornar as permissões e ter acesso ao servidor. Ao enviar uma requisição HTTP especialmente criada para o servidor, o invasor é capaz de visualizar e fazer o upload de arquivos para a máquina. O ataque tira vantagem de um bug na forma como o IIS 6 processa tokens Unicode. O problema que esse exploit já se tornou público. Somente sistemas que têm WebDav ativado são afetados por essa vulnerabilidade.

Portando, é de extrema importância quem possui Webdav habilitado, e não utiliza, desative-o. Se não pode desativar, utiliza o URLSCan para ajudar a efetuar segurança no IIS. Se o site utiliza autenticação baseada em formulários, provavelmente você não terá problemas.

Você está seguro se:

• Servidor de IIS não possui o Webdav instalado.
• Servidor de IIS está com o Webdav desabilitado (no IIS 6 já vem desabilitado por padrão).
• Servidor de IIS não permitir acesso aos arquivos do sistema ao grupo IUSR_[NomedaMáquina].
• Servidor de IIS hospeda somente aplicações utilizando formulários com autenticação.

Atualmente não há correção para essa vulnerabilidade. Maiores informações:

http://www.microsoft.com/technet/security/advisory/971492.mspx

Pessoal,

Ando sumido pois estou estudando para certificações, mas logo logo voltarei a postar mais frequentemente. A Microsoft disponibilizou a atualização do Web Platform Installer 2.0 beta e nessa atualização veio uma novidade, o driver do SQL Server para o PHP. Basta selecionar e instalar.

Quem já tem o Web Platform Installer 2.0, basta abrir o software que ele irá atualizar para a nova versão. Quem não tem, pode baixar em http://www.microsoft.com/Web/downloads/. Aconselho a utilização mesmo sendo beta, já estou utilizando desde a primeira versão beta e não tive problemas.

Abraços!

Pessoal,

Com o IT Hero, muitas pessoas acabaram me procurando e se inscrevendo no forum de IIS que eu gerencio. Um deles, o Rubens Zolotujin, estava com dificuldade em conectrar o site com o SQL Server. Ele me passou acesso a máquina e comecei uma batalha para corrigir o problema, e o pior, já tinha acontecido comigo e não lembrava como tinha resolvido.

Mesmo com o php_mssql.dll liberado no extension do PHP.ini o site não conectava apresentando o erro Call to undefined function mssql_connect() in c:\Inetpub\wwwroot\arquivo.php. No meu caso, consegui resolver fazendo o download da DLL ntwdblib.dll e copiando para c:\windows\system32, reinciei o IIS e pronto, funcionou.

Fiz o download em http://www.dlldll.com/ntwdblib.dll_download.html

Espero que ajude outras pessoas.

Pessoal,

É com muito alegria que comunico que fui premiado no IT Hero da Microsoft com um projeto de IIS7. Muito gratificante saber que meu trabalho foi premiado e ainda por cima pode ajudar outras pessoas, já que outras pessoas já me procuraram.

O link é: http://www.microsoft.com/brasil/technet/ithero/

Um abraço a todos.