|
最初由 immortalchen 发布
[B]事件ID为7031的错误我遇见过,好象是IIS的漏洞造成的,后来打上补丁,重启后解决了,其他错误就不清楚了。 [/B]
打什么补丁?
我补了一个Q327696,不知道是否有效,有待于进一步观察。
这个补丁的相关说明如下:
----------------------------
微软安全公告MS02-062
--------------------------------------------------------------------------------
受影响的软件: Internet Information Services
版本: 4.0, 5.0, 5.1
这是什么?
微软安全快速反应中心已经发布了微软安全公告 MS02-062,关注于在 Internet Information Services 中新发现的几个薄弱环节。 建议客户仔细阅读我们的公告。如果可以运行的话,在您的运行环境下测试并应用这个补丁。
薄弱环节: 共有4个薄弱环节,其中最严重的会导致服务器上的应用程序获得系统级别的特权。
技术细节:
该补丁是一个累积补丁,包含了从 Windows NT 4.0 Service Pack 6a 以来所有 IIS 4.0 安全性补丁的功能,以及到目前为止发布的所有 IIS 5.0 和 5.1 的安全性补丁。
除了包含那些已经发布的补丁功能以外,该补丁还修正了下面几个新发现的、影响 IIS 4.0, 5.0 和/或 5.1的安全性薄弱环节:
在 IIS 4.0, 5.0 或 5.1 被设置为在进程外运行 ISAPI 的时候,会产生一个导致权限上升的薄弱环节。根据最初设计,主机进程 (dllhost.exe) 应该仅在 IWAM_computername 账号的安全性上下文中运行;然而,在特殊情况下,它实际上能取得 LocalSystem 权限,从而使 ISAPI 也具有这样的权限。
IIS 5.0 和 5.1 给 WebDAV 请求分配内存的方式有一个瑕疵,会导致拒绝服务。如果 WebDAV 请求比较特殊,IIS 会在服务器上分配非常大的内存。攻击者可以通过发送几个这样的请求来使服务器失效。
在 IIS 5.0 中的 script 源码访问许可操作中也有一个薄弱环节。该许可操作除了一般的对虚拟文件夹读/写权限的控制之外,还管理着能否被上传到可写的虚拟文件夹里的scripts、.ASP文件和可执行文件的类型。在定义符合该许可的文件类型表格中的排字错误可能会在该列表中忽略.COM文件,这样一来,用户只要有写得权限就能上传这样的文件。
在管理页面中存在影响 IIS 4.0, 5.0 和 5.1 的一对 Cross-Site Scripting (CSS) 薄弱环节。这些薄弱环节中的任何一个都有相同的影响:攻击者可以引诱用户点击站点上的链接,并传递一个包含脚本的请求给使用 IIS 的第三方网站,再引发第三方站点回应给用户(仍然包含脚本)。该脚本就会以第三方站点的安全性设置来呈现,而不是攻击者的。
另外,该补丁会使 IIS 5.0 和 5.1 改变清除 socket backlog 列表的频率 – 当一台服务器上所有的 connection 都已经分派的时候,该列表用来记录未响应的请求。此补丁加快了清除该列表的频率,以使系统能更加从容地应付汹涌的攻击。在 IIS 4.0 中没有提供 backlog 监控的功能。
缓解因素:
进程外运行时的权限上升:
该薄弱环节仅会在攻击者已经具有在受影响的网络服务器上载入并运行应用程序时才能被利用。一般的安全性实践往往建议不允许未获信任的用户在服务器上载应用程序,就算已获信任用户的应用程序也应该在允许被上载前仔细察看。
WebDAV 拒绝服务:
该薄弱环节不影响 IIS 4.0,因为该版本的 IIS 中不支持 WebDAV。
该薄弱环节仅在服务器允许 WebDEV 请求时才会被利用。IIS Lockdown 工具,如果使用其默认设置实施的话,会禁止这种请求。
Script 源文件访问薄弱环节:
该薄弱环节仅会在管理员在服务器上一个或多个虚拟目录授予所有用户写权限和执行权限的时候才会被利用。IIS 的默认配置不受该薄弱环节的影响。
该薄弱环节不影响 IIS 4.0,因为该版本的 IIS 中不支持 WebDAV。
该薄弱环节仅在服务器允许 WebDEV 请求时才会被利用。IIS Lockdown 工具,如果使用其默认设置实施的话,会禁止这种请求。
IIS 管理页面中的 Cross-site Scripting:
该薄弱环节仅会在攻击者成功诱使用户点击正在浏览的网页上或者打开HTML邮件里的链接时才会被利用。
默认情况下,包含该薄弱环节的页面限制只有本地 IP 才能访问。也就是说,该薄弱环节仅在客户端自己正在运行 IIS 时才会被利用。
相关知识库文章: Q327696
安全公告栏链接:http://www.microsoft.com/technet/security/bulletin/ms02-062.asp
这个站点是本公告的权威站点。
若要得到本公告的更多信息,请访问 http://www.microsoft.com/technet/security
------------------------------------------- |
|