Warum IIS? – Folge 7: „Sicherheitspatches: Weniger ist mehr!“


Gelegentlich höre ich Sätze wie: „der IIS ist kein sicherer Webserver“ – das kann ich so nicht stehen lassen:

Richtig ist, daß wir arge Probleme unter Windows Server 2000 mit dem IIS5 (Code Red, Nimda) hatten. Obgleich die Patches schon public waren, nahm man es in der Zeit nicht so genau mit dem Patchen und die richtigen Tools dafür waren auch noch nicht da. Dennoch wer die bewegte Vergangenheit des IIS5 den Nachfolgern anlastet tut dies wie ich finde zu Unrecht. Die Code Qualität des Nachfolgers deutlich erfreulicher: Die Versionen IIS6 (seit 2003) und der neue IIS7 zeigen sich sehr resistent. Auch vor der Konkurrenz mus man sich da nicht verstecken:

Security Patches Historie – Stand 24.09.2010

IIS vs. Apache Security Patches History - Apache 2.2, IIS 5 - IIS 7.5 (Status 24.09.2010)

 

  not rated low moderate important critical
IIS 5 22 1 2 6 3
IIS 6 0 0 0 8 0
IIS 7 0 0 0 4 0
IIS 7.5 0 0 0 2 0
Apache 2.2 19 0 0 0 0

(Angaben ohne Gewähr :-))

Quellen:

Webserver

Link

IIS 5,6,7,7.5

Microsoft Security Bulletin Search

Apache 2.2

Secunia (19 Secunia advisories)

 

Klar, das Thema Sicherheit beinhaltet viel mehr als nur Code-Schwachstellen, z.B. Sicherheit bei Web-Anwendungen – zu oft hört man von via SQL-Injection Attacken gehackten Systemen.

Dennoch wollte ich diese Facette mal klarstellen und je weniger Stress mit einzuspielenden Sicherheitspatches, desto mehr Zeit bleibt einem die WebAnwendungen abzusichern.

Comments (2)

  1. André says:

    Netter Artikel, dank SDL hat Microsoft in Sachen Sicherheit bei ihren Produkten drastisch zugelegt. Davon können andere Firmen (Adobe) noch vieles lernen.

    Aber das Datum sollte doch 28.6.2010 und nicht 28.7. lauten, oder?

    Gruß

    André

     

    Hi,

    danke – sorry dass ich den Post erst so spät gesehen hab. Hab die Daten heute 24.09.2010 nochmal upgedated.

    Grüße,

    Bernhard

  2. Martin says:

    Sehr häufig hört man in Deutschland, dass Microsoft-Technologie "unsicher" sei… Ich halte das für ein ideologisches Statement von verborten, unnobjektiven Open-Source-Befürwortern, das in der Regel stets auch gar nicht mit realen Beweisen unterfüttert wird. Es geht ihnen nur darum, diffuse Angst zu schüren und zu verbreiten.

    Tatsachen, wie dass die absolute Anzahl von sog. "Defacements" und das Hacken von Websites natürlich auf unixoiden Servern passiert, wollen sie gar nicht zur Kenntnis nehmen.