Re: [情報] IIS FTP 服務的新漏洞及應變法 (KB975191)

看板AntiVirus (防毒)作者KarasuTW (鴉天狗)時間16年前 (2009/09/04 13:19)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串1/1

Microsoft 安全性摘要報告: 在網際網路資訊服務 FTP 服務的弱點 Vulnerabilities in the FTP Service in Internet Information Services 原文連結 → http://www.microsoft.com/technet/security/advisory/975191.mspx CERT 文件編號 VU#276653 CVE 文件編號 CVE-2009-3023 (RCE on IIS 5.0 and DoS on IIS 5.1 and IIS 6.0) CVE-2009-2521 (DoS on IIS 5.0, IIS 5.1, IIS 6.0, and IIS 7.0) 受影響的軟體及元件： Windows 2000 SP4 - IIS 5.0 Windows XP SP2/SP3 - IIS 5.1 Windows XP x64 SP2 - IIS 6.0 Windows Server 2003 SP2 - IIS 6.0 Windows Vista - IIS 7.0 (FTP 6.0) Windows Server 2008 - IIS 7.0 (FTP 6.0) 不受影響的軟體及元件： Windows 7 - IIS 7.5 Windows Server 2008 R2 - IIS 7.5 概述： IIS 中的 FTP 服務有一個新漏洞被公開揭露，對 FTP 有寫入權限的攻擊者可以利用這項漏洞造成堆棧溢出，允許攻擊者遠端執行任意程式碼 (IIS5.0) 或造成系統拒絕服務 (IIS 5.1~7.0)。若匿名使用者能建立資料夾，則攻擊者不需要經過帳號密碼認證即可進行攻擊。微軟正在調查這項漏洞，並會在調查完畢之後發出安全性修正程式。緩和因素： Windows XP 及 Windows Server 2003 預設並未安裝 FTP 服務。預設的 FTP 帳號並未帶有寫入權限。在 IIS 5.1~7.0 版的系統上要利用這項漏洞的難度較高。應變方案 (擇一)： ‧停用匿名使用者的寫入權限就預設設定來說匿名使用者是沒有 FTP 寫入權限的。若有開放寫入權限，請照以下步驟停用之。 1. 開啟 IIS 管理員 2. 在預設 FTP 站台上右鍵 - 內容 3. 點選家目錄頁籤 4. 確定沒有勾選寫入選項 ‧禁用匿名使用者登入 1. 開啟 IIS 管理員 2. 在預設 FTP 站台上右鍵 - 內容 3. 點選安全性帳戶 4. 取消選擇「允許匿名使用者登入」 ‧用 NTFS 權限設定禁止使用者建立新資料夾： 1. 找到你的 FTP 根目錄，預設路徑是 %systemroot%\inetpub\ftproot 2. 在目錄上點右鍵 - 內容 3. 點選安全性頁籤，按進階 4. 編輯 Users 群組的權限 5. 取消選擇建立資料夾/附加資料的權限 ‧升級 FTP 服務到 7.5 版 Windows Vista 和 Windows Server 2008 可以升級 FTP 服務到 7.5 版 x86 版：http://0rz.tw/7jssO= x64 版：http://0rz.tw/ZS2Cz= ‧停用 FTP 服務，一了百了 (喂喂... 以上。請有用 IIS 5.x~7.0 版本架設 FTP 的版友們留意。 -- + + ． And I begin to wonder... ★ ＊ The dreams I can't remember ＊ ‧ when I wake in the morning, ＊＊＊ where in the world did they go? 。＊ + + ＊＊ ★ ＊． -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.43.125.206