微软公司昨天公布了在微软Web服务器软件“Internet Information Server/Services(IIS) 4.0/5.0/5.1”中发现的4种安全漏洞。如果有人向服务器发送做了手脚的工作要求和文件,就有可能导致IIS服务的中断,或者执行任意代码。安全漏洞的严重等级为第二级别的“重要”级。对策是安装补丁程序。此次公开的是包括过去已公开的IIS补丁在内的累积补丁。
此次公布的安全漏洞包括如下4种:
(1)跨站脚本执行(CSS)漏洞
(2)缓存溢出漏洞
(3)向特定ASP文件发出请求而导致拒绝服务的漏洞
(4)特定WebDAV请求引发拒绝服务的漏洞
其中,(1)影响IIS 4.0/5.0/5.1,(2)只影响IIS 5.0,(3)影响IIS 4.0/5.0,(4)影响IIS 5.0/5.1(IIS4.0没有WebDAV功能)。严重等级分别为:(1)“注意”,(2)和(3)为“警告”,(4)为“重要”。
微软设置的严重等级由高到低,依次是“紧急”、“重要”、“警告”和“注意”4个级别。日本微软认为“紧急”和“重要”级的安全漏洞必须经常安装补丁程序。“警告”和“注意”级的安全漏洞则需用户阅读安全信息,然后来决定自己的环境是否受影响。
恶意使用(2)和(3)的漏洞,攻击者可以把做了手脚的文件上传到IIS服务器。上传后,通过向此文件发送请求,才能进行攻击。因此限制用户上传的IIS服务器将不受此漏洞影响。尽管恶意使用(2),能够在IIS服务器上执行任意代码,但却把严重等级定为“警告”估计就是这个原因。
而(4)的漏洞,只要有人向机器发送做了手脚的WebDAV脚本,就能使IIS服务中断,因此严重等级定为“重要”。不过,IIS服务即便受到攻击而中断,也会自动重新起动。
对策是安装微软公开的补丁程序。安装补丁程序,可以消除全部4种安全漏洞。IIS 4.0/5.0/5.1的补丁程序各自都能够在Windows NT 4.0 SP6a/2000 SP2,或者SP3/XP或者XP SP1等环境下安装。所有补丁程序不仅能够由“安全信息页面”下载,还可以通过“Windows Update”安装。
此次公开的是包含过去已公开IIS补丁程序在内的累积补丁。IIS 4.0和5.0补丁程序分别包括Windows NT 4.0 Service Pack(SP)6a以后和Window 2000 SP2以后公开的全部IIS补丁程序。IIS 5.1则包含过去已公开的全部IIS 5.1补丁程序。另外,此次公开的补丁程序可以卸载。
另外,需要注意的是,在没有安装过去公开的“MS02-050”补丁程序的环境中,如果安装此次的补丁程序,有时会出现故障。具体来说,就是IIS服务器将无法进行使用数字证书的客户端认证。没有安装“MS02-050”补丁程序时,由于可以在安装此次公开的补丁程序后再安装,因此最好是安装该补丁程序。
此外,(2)和(4)的漏洞还可以通过安装“IIS Lockdown”工具来解决。
ISAPI Extension中也发现安全漏洞
同一天,微软还公开了在Windows NT 4.0和2000系统的ISAPI Extension之一“nsiislg.dll”中发现的安全漏洞。ISAPI Extension是指通过名为ISAPI(互联网服务应用程序编程接口)的接口,向IIS提供附加功能的动态链接库(.dll)。如果有人向机器发送做了手脚的请求,就有可能导致NT 4.0或2000中运行的IIS服务的中断。
不过, Windows NT 4.0和2000在默认条件下均不会受其影响。只有在安装“Windows Media Services”后才会其影响。另外,由于Windows 2000 Professional和NT 4.0 Workstation不能使用Windows Media Services,因此不会受此安全漏洞的影响。
由于只有安装了Windows Media Services的环境受其影响,因此此安全漏洞的严重等级定为倒数第二级的“警告”。
其对策是安装补丁程序。可以由“安全信息页面”下载。而Windows NT 4.0补丁程序还可以通过“Windows Update”安装。只有受其影响的用户才需安装。补丁程序的安装条件是:Windows NT 4.0补丁程序已经安装了NT 4.0 SP6a,Windows 2000补丁程序则是已经安装了2000 SP3。
