Your browser does not support JavaScript!
Google  

 

 

:::
[106/03/31] (iThome) 鎖定微軟IIS 6.0漏洞的攻擊程式被公開,用戶趕快升級
資料來源:iThome
 
兩名來自中國南方科技大學的安全研究人員Zhiniang Peng與Chen Wu在本周透過GitHub公開了鎖定微軟IIS 6.0零時差安全漏洞的攻擊程式,還說去年中就有駭客利用該漏洞展開攻擊,估計全球約有1.3%的網站仍使用IIS 6.0。
 
Internet Information Services(IIS,網路資訊服務)被微軟定位為網頁伺服器,可安置網路應用程式或串流媒體服務,IIS 6.0是早在2010年就發表的版本,支援Windows Server 2003與64位元的Windows XP專業版,研究人員已證實該漏洞影響Windows Server 2003 R2版。最新的IIS版本則是隨著Windows Server 2016及Windows 10出爐的IIS 10。
 
根據Peng與Wu的說明,IIS 6的WebDAV服務中含有一編號為CVE-2017-7269的緩衝區溢位漏洞,駭客只要送出以If: <http://" in a PROPFIND展開的請求,就能自遠端執行任意程式,或是造成服務阻斷,在去年7、8月的時候就已被開採。
 
雖然微軟知道該漏洞,但因Windows Server 2003屬於已終止生命周期的產品,不太可能被修補。微軟並未正面回應修補與否,僅呼籲客戶升級到最近的作業系統。
 
根據W3Techs的調查數據,全球約有11.4%的網站採用微軟的IIS,其中,最普及的是IIS 7的46.4%與IIS 8的40.8%,IIS 6則以11.2%位居第三,因此全球仍約有1.3%的網站可能受到CVE-2017-7269漏洞的影響。
 
資通中心 敬上
瀏覽數