假期中 IIS 问题的调查结果 [转译]

aaahd

　　《本文转译自 Microsoft Security Response Center博客文章“Results of Investigation into Holiday IIS Claim”》
　　
　　针对假期里报道的 IIS 中可能存在的漏洞问题，我们已经完成了全面的调查研究，最终发现，IIS 中没有漏洞。
　　我们所看到的是：IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性，就声称这会导致黑客绕过内容过滤软件，然后向 IIS 服务器上传和执行代码。
　　
　　事实上最关键的问题是：攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置，而且有悖于我们发布的任何最佳实践指导。简言之，做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。
　　
　　因此，用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导，就无须对这个问题有任何担忧。不过，如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限，就像上述攻击前提中描述的那样，我们建议你仔细阅读我们的最佳实践，马上修改配置，从而更好地保护系统免受不当配置会导致的威胁。重申一次，下面是我们的最佳实践资源列表：

• IIS 6.0 安全最佳实践
  
• 用 Web 站点权限保护站点安全
  
• IIS 6.0 操作指导
  
• 改进 Web 应用安全：威胁与对策
  

　　IIS 部门的同事正在评估一项改善措施，以便让 IIS 6.0 的操作行为与其它版本一致。同时，他们也已经把更多相关信息放到了他们的 weblog 上。
　　
　　希望上述内容可以打消大家的疑虑。
　　祝大家假期愉快，新年快乐！
　　
　　Christopher
　　*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*