假期中 IIS 问题的调查结果 [转译]
2010-01-07 14:59
204 查看
《本文转译自 Microsoft Security Response Center博客文章“Results of Investigation into Holiday IIS Claim”》
针对假期里报道的 IIS 中可能存在的漏洞问题,我们已经完成了全面的调查研究,最终发现,IIS 中没有漏洞。
我们所看到的是:IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性,就声称这会导致黑客绕过内容过滤软件,然后向 IIS 服务器上传和执行代码。
事实上最关键的问题是:攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置,而且有悖于我们发布的任何最佳实践指导。简言之,做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。
因此,用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导,就无须对这个问题有任何担忧。不过,如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限,就像上述攻击前提中描述的那样,我们建议你仔细阅读我们的最佳实践,马上修改配置,从而更好地保护系统免受不当配置会导致的威胁。重申一次,下面是我们的最佳实践资源列表:
IIS 6.0 安全最佳实践
用 Web 站点权限保护站点安全
IIS 6.0 操作指导
改进 Web 应用安全:威胁与对策
IIS 部门的同事正在评估一项改善措施,以便让 IIS 6.0 的操作行为与其它版本一致。同时,他们也已经把更多相关信息放到了他们的 weblog 上。
希望上述内容可以打消大家的疑虑。
祝大家假期愉快,新年快乐!
Christopher
*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*
针对假期里报道的 IIS 中可能存在的漏洞问题,我们已经完成了全面的调查研究,最终发现,IIS 中没有漏洞。
我们所看到的是:IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性,就声称这会导致黑客绕过内容过滤软件,然后向 IIS 服务器上传和执行代码。
事实上最关键的问题是:攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置,而且有悖于我们发布的任何最佳实践指导。简言之,做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。
因此,用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导,就无须对这个问题有任何担忧。不过,如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限,就像上述攻击前提中描述的那样,我们建议你仔细阅读我们的最佳实践,马上修改配置,从而更好地保护系统免受不当配置会导致的威胁。重申一次,下面是我们的最佳实践资源列表:
IIS 6.0 安全最佳实践
用 Web 站点权限保护站点安全
IIS 6.0 操作指导
改进 Web 应用安全:威胁与对策
IIS 部门的同事正在评估一项改善措施,以便让 IIS 6.0 的操作行为与其它版本一致。同时,他们也已经把更多相关信息放到了他们的 weblog 上。
希望上述内容可以打消大家的疑虑。
祝大家假期愉快,新年快乐!
Christopher
*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*
相关文章推荐
- 假期中 IIS 问题的调查结果 [转译]
- 类型:.net;问题:iis注册;结果:.net4.0注册到IIS ,重新注册IIS ,iis注册
- 装了VS2005再装IIS,结果出了些小问题 访问IIS元数据库失败
- 三星Note 7爆炸原因调查结果出炉:设计问题
- 解决装了VS2005再装IIS,结果出了些问题的方法
- 三星Note 7爆炸原因调查结果出炉:设计问题
- 装了VS2005再装IIS,结果出了些小问题
- 问题:部署到iis上后Chart图片不显示;结果:使用webchart过程中遇到的一些问题
- 问题:iis配置json;结果:如何配置iis支持.json格式的文件
- 关于asp.net和iis的进程/线程问题,假如网站有1000个人访问,会产生多少个进程/线程啊
- IIS处理并发请求时出现的问题及解决
- 解决在Windows 2003的 IIS 6.0 中无法上传超过200K的附件以及无法下载超过4M的附件问题
- php 问卷调查结果统计
- 14行Python代码实现 n 皇后问题(可求出所有结果)
- 彻底解决SharePoint开发Debug中弹出的IIS Ping超时问题
- 记录在IIS中安装部署Orchard遇到的问题
- asp.net Global.asax中Session_End不能执行问题最终解释与调试结果
- 英特尔响应安全研究调查结果 intel漏洞 CVE-2017-5715、CVE-CVE-2017-5753、CVE-2017-5754
- IIS下Zend 出现 Unable to view file mapping 问题的解决方法汇总
- IIS问题汇总