Windows Server Blog

Deutscher Windows Server Blog mit Beiträgen von Microsoft-Mitarbeitern; Tipps &Tricks für Administratoren zu aktuellen Windows Server-Versionen, allen Server-Rollen und Features.

Warum IIS? – Folge 7: „Sicherheitspatches: Weniger ist mehr!“

Warum IIS? – Folge 7: „Sicherheitspatches: Weniger ist mehr!“

  • Comments 2
  • Likes

Gelegentlich höre ich Sätze wie: „der IIS ist kein sicherer Webserver“ – das kann ich so nicht stehen lassen:

Richtig ist, daß wir arge Probleme unter Windows Server 2000 mit dem IIS5 (Code Red, Nimda) hatten. Obgleich die Patches schon public waren, nahm man es in der Zeit nicht so genau mit dem Patchen und die richtigen Tools dafür waren auch noch nicht da. Dennoch wer die bewegte Vergangenheit des IIS5 den Nachfolgern anlastet tut dies wie ich finde zu Unrecht. Die Code Qualität des Nachfolgers deutlich erfreulicher: Die Versionen IIS6 (seit 2003) und der neue IIS7 zeigen sich sehr resistent. Auch vor der Konkurrenz mus man sich da nicht verstecken:

Security Patches Historie – Stand 24.09.2010

IIS vs. Apache Security Patches History - Apache 2.2, IIS 5 - IIS 7.5 (Status 24.09.2010)

 

  not rated low moderate important critical
IIS 5 22 1 2 6 3
IIS 6 0 0 0 8 0
IIS 7 0 0 0 4 0
IIS 7.5 0 0 0 2 0
Apache 2.2 19 0 0 0 0

(Angaben ohne Gewähr :-))

Quellen:

Webserver

Link

IIS 5,6,7,7.5

Microsoft Security Bulletin Search

Apache 2.2

Secunia (19 Secunia advisories)

 

Klar, das Thema Sicherheit beinhaltet viel mehr als nur Code-Schwachstellen, z.B. Sicherheit bei Web-Anwendungen - zu oft hört man von via SQL-Injection Attacken gehackten Systemen.

Dennoch wollte ich diese Facette mal klarstellen und je weniger Stress mit einzuspielenden Sicherheitspatches, desto mehr Zeit bleibt einem die Web-Anwendungen abzusichern.

Comments
  • Netter Artikel, dank SDL hat Microsoft in Sachen Sicherheit bei ihren Produkten drastisch zugelegt. Davon können andere Firmen (Adobe) noch vieles lernen.

    Aber das Datum sollte doch 28.6.2010 und nicht 28.7. lauten, oder?

    Gruß

    André

     

    Hi,

    danke - sorry dass ich den Post erst so spät gesehen hab. Hab die Daten heute 24.09.2010 nochmal upgedated.

    Grüße,

    Bernhard

  • Sehr häufig hört man in Deutschland, dass Microsoft-Technologie "unsicher" sei... Ich halte das für ein ideologisches Statement von verborten, unnobjektiven Open-Source-Befürwortern, das in der Regel stets auch gar nicht mit realen Beweisen unterfüttert wird. Es geht ihnen nur darum, diffuse Angst zu schüren und zu verbreiten.

    Tatsachen, wie dass die absolute Anzahl von sog. "Defacements" und das Hacken von Websites natürlich auf unixoiden Servern passiert, wollen sie gar nicht zur Kenntnis nehmen.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment