《本文转译自Microsoft Security Response Center 博客文章“Results of Investigation into Holiday IIS Claim”》
针对假期里报道的 IIS 中可能存在的漏洞问题,我们已经完成了全面的调查研究,最终发现,IIS 中没有漏洞。
我们所看到的是:IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性,就声称这会导致黑客绕过内容过滤软件,然后向 IIS 服务器上传和执行代码。
事实上最关键的问题是:攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置,而且有悖于我们发布的任何最佳实践指导。简言之,做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。
因此,用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导,就无须对这个问题有任何担忧。不过,如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限,就像上述攻击前提中描述的那样,我们建议你仔细阅读我们的最佳实践,马上修改配置,从而更好地保护系统免受不当配置会导致的威胁。重申一次,下面是我们的最佳实践资源列表:
IIS 部门的同事正在评估一项改善措施,以便让 IIS 6.0 的操作行为与其它版本一致。同时,他们也已经把更多相关信息放到了他们的 weblog 上。
希望上述内容可以打消大家的疑虑。
祝大家假期愉快,新年快乐!
Christopher
*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*
