启用了WebDAV的 Windows Server 2003 机器遭遇安全漏洞影响
接入互联网的约60万台 Windows Server 2003 机器上存在 IIS 6.0 重大安全漏洞。
然而,微软发话称,不会发布补丁供用户防护该零日缓冲区溢出漏洞。相关技术报道参见:[CVE-2017-7269]( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269 )。
该漏洞存在于微软Web服务器 IIS 6.0 的网页分布式创作与版本管理(WebDAV)组件中。WebDAV是HTTP协议的一个扩展,可使客户端远程编写网页内容。
WebDAV中有个名为PROPFIND的方法,供用户获取资源的属性,还有个称为IF的头处理状态标记。安全厂商趋势科技在博客文章中报道:在PROPFIND请求中填入过大的IF头,攻击者便可制造拒绝服务条件,或者在应用中执行任意代码。
该漏洞发现者为华南理工大学的研究人员。去年已观测到野生漏洞利用的情况。在3月27号公开漏洞之时,研究人员称,其他黑客现已处在基于原始概念验证(PoC)代码创建恶意代码的阶段。
漏洞在运行有 IIS 6.0 的 Windows Server 2003 R2 系统中被发现。微软对 Windows Server 2003 的延长支持期在20个月前就终止了,因此,该漏洞不会有官方安全修复补丁放出。
联网设备搜索引擎Shodan的检索结果显示:IIS 6.0 依然在超过60万台公开服务器上运行着,其中大多数都是 Windows 2003 系统。
但是,这些脆弱服务器的真实数量尚未可知。首先,可能有更多未接入互联网的服务器正在使用中。其次,还有些是没启用WebDAV的。至少Shodan发现的服务器中就仅有10%开启了WebDAV。
Opatch发布了一个CVE-2017-7269补丁,但因为没有官方补丁,用户最好还是禁用WebDAV,如果可能的话,升级到更新的操作系统最好。
微软不理会 Windows Server 2003 重大安全漏洞的事不是第一次发生了。退回到2015年2月,该公司就曾决定不修复该软件中的一个经年漏洞。
相关资讯
最新热门应用
非小号交易平台官网安卓版
其它软件292.97MB
下载币交易所地址
其它软件274.98M
下载iotx交易所app
其它软件14.54 MB
下载zt交易所安卓最新版
其它软件273.2 MB
下载币拓交易所bittok
其它软件288.1 MB
下载u币交易所平台app
其它软件292.97MB
下载热币全球交易所app官网版
其它软件287.27 MB
下载多比交易平台app
其它软件28.28MB
下载币赢交易所app官网安卓版
其它软件14.78MB
下载toncoin币交易所安卓版
其它软件48MB
下载