#5: Poca credibilidad me mereceria UNICEF si se confirmara que utilizase software privativo (y además compilado por la NSA) en sus servidores tal y como tu insinuas.

#1 te has dejado la más importante:

http://www.apache.org/

Leyendo la noticia queda claro que la culpa no es de Microsoft sino de los desarrolladores de aplicaciones con ASP. ¿Y por qué? En la empresa nos han llegado recien graduados y a ellos les han enseñado a programar con JSP, JSF y ASP... curiosamente ninguno sabe de PHP.

Lo peor es que en la Universidad no les enseñan (y los estudiantes no les preocupa) programar teniendo en cuenta la seguridad, todo se reduce para ellos a la pantalla de usuario: y contraseña: , no tienen ni idea de cifrarcomunicaciones, ni de SSL, ni Kerberos, y coincidencialmente cuando les pregunté como solucionaban el problema de ¿Inyección SQL? la respuesta fue: ¿qué es eso?

#12 ¿Te has puesto las gafas?

#2: Pues yo sólo veo un Ministro de Innovación más gordo, con un coche más grande y con más entidades bancarias pretendiéndole.

http://www.elmundo.es/navegante/2008/04/21/tecnologia/1208774509.html

Ah! Y una España más pobre, más inculta, menos o nada libre y a las puertas de la creación de la policia del pensamiento y la instauración un neofeudalismo digital sin vuelta atrás.

Pero eso... ¿a quién le importa, verdad?

El hombre es el único animal que tropieza n veces con la misma piedra cuando n tiende a infinito. Por fuerza tenemos que ser masocas.

#8 Teniendo en cuenta que ASP y ASPX corren sobre IIS yo no me apresuraría a hacer un pliego de descargo.

Una inyección de SQL se solventa en el codigo de la página. Da igual la plataforma que uses. Esto es cuenta del porgramador. Almenos eso tenia entendido pero viendo que 500000 servidores han sido afctados me da que pesnar. ¿todos los programdores web son unos cazurros?.

Meneo profético de ayer mismo: Nihaorr1 + IIS + SQL Injection Attack!!!

Hace 15 años | Por nexus7 a forums.iis.net

Publicado hace 15 años por nexus7 a forums.iis.net

Nihaorr1 + IIS + SQL Injection Attack!!!

forums.iis.net

#6: Son comparativas de errores reportados, aunque yo más bien diria "reconocidos".

En eso les hemos ganado siempre de calle... Basta con ver todos los sistemas de reportes de bugs que existen para software libre y el clásico oscurantismo de Microsoft...

Las estadísticas rara vez mienten, pero siempre dicen lo que le interesa a quien las encarga. Y si además se las maquilla pueden hacer fácilmente que un oyente incauto saque conclusiones disparatadas debido a la visión deformada que éstas le han dado.

¿Cómo explicarle qué son los colores a alguien que ve en blanco y negro? ...o la visión tridimensional a un tuerto congénito?

Juas, y justo ahora que Microsoft anunciaba sus ganancias gracias al aumento de las ventas de sus servidores, como siga así el tema me veo a microsoft viviendo de la XBox

#16 Cierto, me han traicionado las dioptrías. Perdón.

se me olvidaba, a ver si leemos los articulos enteros.

UPDATE: We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.

El titular es bastante amarillista, aunque Microsoft no me gusta nada, tampoco hay que cargarle todas las culpas.
La noticia deja claro que no es una vulnerabilidad de IIS y además el titular es erroneo, no son "servidores web de microsoft", en todo caso de empresas que usan algunos productos de microsoft.

#19 en 5 años de carrera no puedes aprender absolutamente todo de informatica como es obvio. En la universidad te dan una base que abarca casi todo y tu luego cuando salgas tiras para donde tu quieras o puedas, y te acabas de formar en eso que te interesa.

Y la noticia como bien dices no es culpa de los servidores web de Microsoft.

#15 Si la combinación de software vulnerable es Mcrosoft Windows Server + Microsoft IIS +Microsost SQL Server + Microsoft ASP[.Net] y afecta a más de 500.000 lo manipulador es decir que no habrá alguna responsabilidad por parte de Microsoft.

PD: Eso no quita que la noticia este un poco amarillista, que el Ubuntu de #1 no haya tenido fallos de record como el de los discos duros.

EPIC FAIL

Yo no creo que tenga la culpa IIS, como mucho el servidor de bases de datos y el programador.
La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase.

Amarilla amarilla.
Al ritmo que se menean noticias imprecisas o sesgadas como veo ultimamente, al final el dicho "meneame es un saco" se va a quedar corto. Esto cada vez parece mas el Tomate de la informática.

Zas!!! en toda la bocaza!!!

los ataques de inyeccion sql no tienen nada que ver con la plataforma, ni siquiera con que el lenguaje sea asp o php asi que stfu amarillistas

relacionada Un ataque informático masivo afecta a casi 300.000 páginas web

Hace 15 años | Por juanjete a larazon.es

Publicado hace 15 años por juanjete a larazon.es

Un ataque informático masivo afecta a casi 300.000...

larazon.es

Si hackean 500.000 servidores distintos no puede ser "fallo del programador", hay algo común en todos que está mal y que es, sin lugar a dudas, responsabilidad de Microsoft.

yo no he sido.

Veo que no tenéis ni puta idea de administrar servidores windows.

#1 menso meterte con los sysadmin de windows y arregla tu web, que no chuta y da un error vergonzoso de publicar.

no termino de ver como se hace esta inyeccion de codigo,

alguien me lo explica mejor

Se esta liando... Me da que la cuota de mercado del IIS va a bajar...

Firefox 1
Microsoft 0

OGC!!

Todos los sistemas tienen fallos, hoy le toca a Microsoft, mañana a Oracle y pasado a MySQL o DB2. Eso sí se acabó la ventaja competitiva de Microsoft, la diversificación de sistemas como la diversidad genética garantiza la supervivencia.

amarillista total. es un estupendo fallo de programación que puede igual ocurrir en otros lenguajes, sobre todo php. El ramalazo que le sale a algunos es lo que tiene ¿si no existiera microsoft tu vida sería mas completa? mucho tiempo libre para el odio

#37: claro entonces cuando se estrella un ford es culpa de la compañia que frabricó el coche, no?

#44: si, la mayoria lo son, 4 real

#46: "La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase."
supongo que por ese comentario tengo que deducir que tus webs son una puta hez, dame las urls y añadire un par de zombis a mi botnet

Digo yo, que si se inyecta codigo para atacar al cliente, aunque sea mediante inyeccion SQL, el ataque es un XSS...

¿Cuánto se tardará en sacar un parche que lo solucione?
Se admiten apuestas.

#14 OGC?
que quieres decir con eso? Hay que mirar los logos desde todos los ángulos, que si no... [eng]

Hace 15 años | Por fr1k1 a telegraph.co.uk

Publicado hace 15 años por fr1k1 a telegraph.co.uk

Hay que mirar los logos desde todos los ángulos, q...

telegraph.co.uk

#52 da igual como se lo digas, hay que criticar a microsoft a toda costa.

Para los amantes del noscript, que para mi es un mal parche, la versión para Internet Explorer y sin plugins:

Menú herramientas -> opciones de internet ->Pestaña seguridad -> Botón nivel personalizado -> en la lista buscas "automatización - active scripting" y ahí o lo bloqueas o marcas "preguntar".

Eso para el IE 7, en el IE6 se llama "automatización de los subprogramas de Java".

Una explicación más completa y con opción de agregar sitios a una lista blanca: http://www.vsantivirus.com/faq-sitios-confianza.htm .

P.D: el noscript es un mal parche porque el javascript es algo que existe y es bueno si se usa bien así que o se permite de forma segura o no se permite y desaparece pero no se bloquea para ver medio páginas.

Normalmente una inyección de sql en por ejemplo un CMS como xXx (no pongo ninguno que la gente se pica micho), no suele afectar al resto de CMS, porque en teoría están implementados en php pero cada uno a su manera, todo desarrollador tiene su ego y sus manías. A mi lo raro me suena cuando petan 500000 y es por una inyección de sql, es quizá un bug 0-day en ASP que permite llegar al sql y hacer la inyección o tenemos a cientos de miles de programadores de ASP siguiendo el mismo manual con los mismos fallos???

#34 pues entonces "sólo" quedan 9 días.

Aun con PHP + MySQL, se le puede Inyectar codigo malicioso con SQL y/o Javascript.

La cuestión es del programador, debió haber previsto las posibilidades de inyectar código en su programa,
para ello se debe aplicar tecnicas d programación d seguridad sean de ASP ASPx o PHP..

Es amarillista esta noticia.

Pero...

¿qué pueden hacerle al usuario?

¿qué vulnerabilidades hay que afecten a un usuario con la última versión de Firefox pero no a los que usan no script? ¿Dónde puedo encontrar más información de esto?

Mirar los resultados de Google sobre el script de nmidahena.com; http://www.google.es/search?q=nmidahena.com&sourceid=navclient-ff&ie=UTF-8&rls=DVFA,DVFA:1970--2,DVFA:es

Y si no es Mac/Ubuntu, se erronea.

cagadas hay hasta en las mejores familias, la historia está en la rapidez para solucionarlas... y en eso los de Micro$oft pierden por goleada

No voy a decir que es culpa del servidor, no se puede decir "explícitamente" (ya que viene la gente y se te echa al cuello), pero lo más curioso de estos casos, es cuando la gente dice "es el programador/empresa barata/lakely..." Mientras que es esa gran empresa la que siempre esta mencionando sus sistemas... ¡super simples y ultra seguros! Sus imbatibles sistemas a prueba de tontos.
Estoy harto de que me vengan los clientes, después de haber ido a que les vendan la moto en una de las conferencias mega-tecno-chachipiruli, comentandome que el sql server de microsoft es más seguro que --insertar aquí servidor sql no-microsoft-- y que merece la pena, que no hay tantos bugs...

http://www.luds.net/galeries/nelson.gif
(Para Micro$oft, no para las pobres víctimas)

#32 No era el primer martes de cada mes si no mal recuerdo?

jejeje q le den por culo!

#59 si tienes huevos a hechar a andar dos IIS en paralelo en el mismo servidor, me lo explicas, que me interesa mucho conocer la tecnica. Seran 500000 servidores virtualizados, pero 500000 al fin y al cabo.

Es decir, que en linux, mysql y php ( #37 curiosa coincidencia ¿por qué será linux, mysql y php y no cualquier otra combinación) no existen las inyecciones sql y si por un casual existieran no sería culpa de quién no hizo bien la web sino de linux, mysql y php que están mal hechos...

Ah, espera, que si que existen...

Por favor, si yo me salgo de una curva a 200Km la culpa es mía no del fabricante del coche. Más amarilla no podría ser y con esta ya van no se cuentas hoy como la del que murió por el redbull y no por el pequeño defecto que tenía en el corazón.

Portada en 2 minutos.
We have a new world record.