IIS 6 惊现 WebDAV 漏洞攻击
来源:互联网 发布:小米体重秤不显示数据 编辑:程序博客网 时间:2024/06/06 01:17
美国计算机紧急反应组近日透露,上周发现的 IIS6 WebDAV 漏洞已经被用在攻击中,这个由计算机安全专家 Nikolaos Rangos 发现的漏洞可以通过一个伪造的 HTTP 请求,查看并上传文件到 IIS6 服务器,攻击利用了微软处理 Unicode token 过程中的漏洞。
微软在一份声明中表示,尚未听说此类攻击的发生,但他们正在对此进行观察,并将提供安全顾问为用户提供帮助。漏洞只影响那些在 IIS6 中启用了 WebDAV 协议的系统,WebDAV 用来在 Web 上共享文档。
攻击者可以无需授权,查看那服务器的文件,并上传文件到服务器,独立安全专家 Thierry Zoller确认了 Rangos 的发现,不过 Zoller 表示他还没有发现可以在被攻击服务器上运行任何恶意程序的方法。Zoller 同时表示,IIS5和 IIS7 目前不受影响,但微软其它使用 WebDAV 技术的产品可能也面临危险。他建议用户在收到微软补丁之前先禁用 WebDAV 协议。
Rangos 在采访中表示,使用了 WebDAV 技术的 Exchange 服务器与 SharePoint 服务器都未受到威胁。
Cisco 也发表了同样的安全警告,他们在一份发表在自己官方网站的安全警告中表示,那些使用了 IIS6 WebDAV 技术,并且站点中有敏感文件的站点管理员应该采取措施,因为攻击代码已经被公布于众。
在 IIS6 中禁用 WebDAV 非常简单,只需在 Windows 2003 的安装和卸载 Windows 组件中,找到应用程序服务器部分,并进入 IIS 组件选项,去掉 WebDAV 前面的勾选,然后重新启动 IIS 即可 - 译者。
本消息来源:http://www.techworld.com/security/news/index.cfm?newsid=116029
中文翻译来源:COMSHARP CMS 官方网站
- IIS 6 惊现 WebDAV 漏洞攻击
- 【分析】通用的攻击WebDAV漏洞的方法
- IIS站点禁用WebDav
- Microsoft IIS WebDAV安全漏洞
- WebDav远程溢出漏洞分析
- IIS 6文件解析漏洞
- 【实战】WebDav远程溢出漏洞分析
- Webdav漏洞ISNO方法的补充
- WebDAV漏洞直接远程溢出拿下服务器
- WebDAV服务漏洞利用工具DAVTest
- DreamWeaver+WebDav(IIS)配置团队协作开发
- 如何对 IIS 5.0 禁用 WebDAV
- 在IIS 7上安转配置WebDAV
- WebDAV(IIS)支持的副档名设置
- Windows Server 2008 IIS 7.0 WebDAV设置
- iis搭建WEBDAV注意事项,(成功)
- ewebeditor漏洞,ewebeditor漏洞攻击
- WebDAV
- UML中几种类间关系:继承、实现、依赖、关联、聚合、组合的联系与区别
- Boost下载安装编译配置使用指南(转)
- 信息化之协同信息管理
- OpenGL开发系统-坐标系统及相应函数
- 传说:十个看完,九个有领悟
- IIS 6 惊现 WebDAV 漏洞攻击
- 为何无法打开administrator目录?提示“无法访问c:/documents and settings/administrator,拒绝访问"解决办法
- BadImageFormatException:不是有效的win32应用程序
- 电子商务安全--加密标准
- rtp应用(2)--linux下基于jrtplib库的实时传送实现
- 以《Enterprise javaBean3.0》书的ex04_1例子说明ant的使用
- Emacs教程
- 魔兽控制台命令集
- [软件]多文档批量打印小工具