微软拒绝修复60万台 Windows 2003 Web服务器安全漏洞

启用了WebDAV的 Windows Server 2003 机器遭遇安全漏洞影响

接入互联网的约60万台 Windows Server 2003 机器上存在 IIS 6.0 重大安全漏洞。

然而，微软发话称，不会发布补丁供用户防护该零日缓冲区溢出漏洞。相关技术报道参见：[CVE-2017-7269]( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269 )。

该漏洞存在于微软Web服务器 IIS 6.0 的网页分布式创作与版本管理(WebDAV)组件中。WebDAV是HTTP协议的一个扩展，可使客户端远程编写网页内容。

WebDAV中有个名为PROPFIND的方法，供用户获取资源的属性，还有个称为IF的头处理状态标记。安全厂商趋势科技在博客文章中报道：在PROPFIND请求中填入过大的IF头，攻击者便可制造拒绝服务条件，或者在应用中执行任意代码。

该漏洞发现者为华南理工大学的研究人员。去年已观测到野生漏洞利用的情况。在3月27号公开漏洞之时，研究人员称，其他黑客现已处在基于原始概念验证(PoC)代码创建恶意代码的阶段。

漏洞在运行有 IIS 6.0 的 Windows Server 2003 R2 系统中被发现。微软对 Windows Server 2003 的延长支持期在20个月前就终止了，因此，该漏洞不会有官方安全修复补丁放出。

联网设备搜索引擎Shodan的检索结果显示：IIS 6.0 依然在超过60万台公开服务器上运行着，其中大多数都是 Windows 2003 系统。

但是，这些脆弱服务器的真实数量尚未可知。首先，可能有更多未接入互联网的服务器正在使用中。其次，还有些是没启用WebDAV的。至少Shodan发现的服务器中就仅有10%开启了WebDAV。

Opatch发布了一个CVE-2017-7269补丁，但因为没有官方补丁，用户最好还是禁用WebDAV，如果可能的话，升级到更新的操作系统最好。

微软不理会 Windows Server 2003 重大安全漏洞的事不是第一次发生了。退回到2015年2月，该公司就曾决定不修复该软件中的一个经年漏洞。