怎樣保護IIS 6的安全
樹大招風,IIS6受到了很大多數伺服器上的歡迎,當然也迎來了天地,駭客。。
現在
微軟公司的IIS 6漏洞被公諸于眾,安全研究人員Nikolaos Rangos公佈了關於該漏洞的詳細資訊。通過發送專門設計的HTTP請求到伺服器,他能夠在伺服器上查看和上傳檔,該攻擊利用了微軟的軟體程式Unicode權杖。
美國電腦應急準備小組表示,該漏洞正在被攻擊者用於線上攻擊。
微軟公司在一份聲明中表示,沒有聽說任何關於類似攻擊的消息,但是他們正在調查Rangos公佈的消息。
該漏洞對已經啟用WebDAV(基於web的分散式創作與版本控制)協議的使用者有影響,使用者啟用該協議來通過web分享檔。
這讓攻擊者有機可乘,攻擊者可以在未經授權的情況下查看伺服器上的受保護的檔,並可以用來上傳檔,Thierry Zoller表示,這名獨立安全研究人員證實了Rangos的結論。然而,Zoller表示,他暫時沒有發現任何利用這種漏洞在IIS伺服器上運行未經授權軟體的跡象。
Zoller表示,IIS5和IIS7似乎不容易受到這種攻擊,但是這將影響到使用WebDAV技術的其他微軟產品,他將暫時禁用webDAV並等待微軟公司的安全補丁。
在一次電子郵件採訪中,Rangos表示,即使啟用了WebDAV,在IIS6上運行的Exchange Server和sharePoint Server也不會受到這個安全性漏洞的影響。
思科公司也在其官網上發出了類似警告,“在IIS伺服器(使用webDAV)上有敏感資訊的網站應實行有效的緩解措施,因為攻擊代碼已經被公開了。”
各位伺服器提供商要注意安全了。。。
怎樣保護IIS 6的安全 |
