假期中 IIS 问题的调查结果 [转译]

《 本文转译自 Microsoft Security Response Center 博客文章 “ Results of Investigation into Holiday IIS Claim ” 》

针对假期里报道的 IIS 中可能存在的漏洞问题，我们已经完成了全面的调查研究，最终发现，IIS 中没有漏洞 。

我们所看到的是：IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性，就声称这会导致黑客绕过内容过滤软件，然后向 IIS 服务器上传和执行代码。

事实上最关键的问题是：攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置，而且有悖于我们发布的任何最佳实践指导。简言之，做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。

因此，用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导，就无须对这个问题有任何担忧。不过，如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限，就像上述攻击前提中描述的那样，我们建议你仔细阅读我们的最佳实践，马上修改配置，从而更好地保护系统免受不当配置会导致的威胁。重申一次，下面是我们的最佳实践资源列表：

• IIS 6.0 安全最佳实践
• 用 Web 站点权限保护站点安全
• IIS 6.0 操作指导
• 改进 Web 应用安全：威胁与对策

IIS 部门的同事正在评估一项改善措施，以便让 IIS 6.0 的操作行为与其它版本一致。同时，他们也已经把更多相关信息放到了他们的 weblog 上。

希望上述内容可以打消大家的疑虑。

祝大家假期愉快，新年快乐！

Christopher

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*