Improve your security settings in IIS

Our software messageconcept PeopleSync uses the Microsoft Internet Information Services to publish contact data via the CardDAV protocol over HTTPS. The Austrian national Computer Emergency Response Team (CERT) published a bulletin regarding a critical security vulnerability in CGI this week. CERT recommends to change to change the webserver configuration immediately to hide the following information in the HHTP header for script access:

  • Proxy
  • Proxy_Host
  • Proxy_Port
  • Proxy_User
  • Proxy_Pass
  • Proxy_Password

As PeopleSync uses FastCGI, CERT recommends to apply the following rules in the apphost.config file to filter some environment variables:

<system.webServer>
<rewrite>
<rules>
<rule name=”Erase HTTP_PROXY” patternSyntax=”Wildcard”>
<match url=”*.*” />
<serverVariables>
<set name=”HTTP_PROXY” value=”” />
</serverVariables>
<action type=”None” />
</rule>
</rules>
</rewrite>
</system.webServer>

In general, CERT recommends to patch all software components with the latest fixes. messageconcept also recommends to update PeopleSync to version 16.1. Besides new functionality, the new release supports PHP 5.6 to patch security flaws in PHP.

news cert at logo news cert at logo news cert at logo

messageconcept PeopleSync ist die Synchronisationsplattform für Ihre Kontaktdaten. Alle Kontakte aus den Mailsystemen, Datenbanken und kaufmännischen Lösungen Ihres Unternehmens werden so auf jedem Mobilgerät und an den Arbeitsplätzen Ihrer Mitarbeiter verfügbar.

Unsere Software bringt die Telefonnummern und Adressdaten Ihrer Mitarbeiter, Kunden, Partner und Lieferanten nach den Richtlinien Ihrer IT auf die Smartphones, Tablets und Computer aller Mitarbeiter Ihres Unternehmens.

Auf unseren Download-Seiten können Sie voll funktionsfähige Testversionen unserer Produkte herunterladen. So haben Sie die Gelegenheit, die Software kostenfrei und unverbindlich vor dem Kauf auf Herz und Nieren zu prüfen.

In unserem Online-Shop können Sie Ihren individuellen Produktpreis berechnen, formale Angebote abrufen und Lizenzen erwerben.