微软更新安全报告,指出已发现针对Internet Information Services(IIS)FTP服务安全漏洞的攻击。而且微软原本以为该漏洞仅影响IIS 5.0、IIS 5.1及IIS 6.0,但最新的报告则显示IIS 7.0亦无法幸免。这是一个FTP服务堆栈溢出漏洞,若FTP服务器允许未被授权的使用者登入而且可建立一个很长且特制的目录,就可能触发该漏洞,让黑客可以执行程序或进行阻断式服务攻击。早在一周前专门搜集攻击程序的Milw0rm网站就出现针对该漏洞的攻击程序,首只攻击程序主要锁定Windows 2000服务器上所执行的IIS 5.0。而上周Milw0rm站上再度出现锁定其他平台进行阻断式服务攻击的概念性验证程序,包括Windows XP上的IIS 5.1、Windows 2003所使用的IIS 6.0,以及Windows Vista及Windows Server 2008平台上的IIS 7.0都受到波及。微软安全响应中心Alan Wallace上周证实已发现针对IIS FTP漏洞的有限攻击。不过,微软IIS团队成员Wade Hilmo则表示,上周新出现的概念性验证程序是锁定另一个IIS FTP服务漏洞,只是它与首个出现的漏洞有相同的影响,而解决方法亦类似。Hilmo指出,两个概念性验证程序皆是由同一个研究人员所揭露,而且该研究人员都是选择直接向大众发表,而未先知会微软。IIS与FTP的版本别有些不一致而混淆了不少人。通常IIS与FTP版本是相对应的,但IIS 6.0及IIS 7.0则例外皆采用FTP 6.0版本,而且微软额外针对Vista及Windows Server 2008平台供应FTP 7.0扩充组件,Hilmo说明,目前的调查显示FTP 7.0及Windows 7与Windows 2008 R2所采用的FTP 7.5是不受影响的。该版本别的设计也导致微软安全响应中心初期宣布IIS 7.0并未受到影响。在更新程序尚未出炉前,微软建议用户可以关闭FTP服务,或是避免利用NTFS ACLs建立新的目录,而且也不要让不明的用户透过IIS设计写入数据。微软即将于本周二(9/8)进行例行性更新,但外界认为微软应该来不及于此次更新修补该漏洞。苹果最新操作系统雪豹存严重Flash漏洞采用Linux能使在线银行交易更安全相关资讯 漏洞
- 快递官网漏洞泄露 1400 万用户信息 (08/12/2014 08:37:42)
- 要389目录服务器访问绕过漏洞 (10/01/2012 09:18:08)
- ASUS Net4Switch "ipswcom.dll" (03/02/2012 09:32:42)
| - 软件漏洞是一笔大买卖! (10/06/2012 08:28:32)
- PHPCMS V9.1.13任意文件包含漏洞分 (08/01/2012 07:23:17)
- Open Handset Alliance Android (03/01/2012 06:59:34)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
|
易网时代-编程资源站