IIS更新通告:MS15-034
11 | 19,325 |
依據iThome的報導,資安研究機構SANS最近公告了一個IIS漏洞:微軟於4/14發佈的安全公告MS15-034,提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞,讓攻擊者有機會透過HTTP Request癱瘓系統,甚至有可能從遠端執行程式碼(聽起來又是緩衝區溢位漏洞)。安全公告發佈的同時,微軟也一併釋出了更新KB3042553,意思是:莫等待,莫依賴,快把IIS更新裝起來!(受影響範圍包含Windows 7/Windows 2008R2/Windows 8/Windows 8.1/Windows 2012/Windows 2012R2)
報導提到要測試漏洞可模擬以下GET Request,看是否會得到Request Range Not Satisfiable回應:
GET / HTTP/1.1
Host: MS15034
Range: bytes=0-18446744073709551615
手癢想實證一下,便開啟一台久未更新的Windows 2008 VM,利用上回介紹過的Telent密技模擬GET Request。(註:若網站無預設網頁,使用瀏覽器直接開啟http:// server_to_test 找不到網頁,請在根目錄下放個index.html或default.html,或將"GET /"改為存在的網頁,否則會得到HTTP 404,測不出真實回應)
果真看到HTTP 416 Request Range Not Satisfiable,代表漏洞存在。
接著執行Windows Update,特別挑出KB3042553安裝。
安裝KB3042553後再做一次相同測試,HTTP 416狀態變成HTTP 400 Bad Request,象徵漏洞修復。
好奇一點:那IIS6呢?Windows 2003未列於MS15-034公告,使用前述方法測試也不會回應HTTP 416,研判不在此波曝險範圍。
所以結論是使用Windows 2003的朋友可以繼續安心使用?喂!不要亂教啦。
事實是,Windows 2003將於2015/7/14終止支援,已是破百的待退老鳥,之後由於不再有安全修補及Hotfix,維運風險將大幅升高,大家手邊如果還有老而彌堅的Windows 2003,建議儘早安排升級以策安全。
Comments
# by wellxion
報告! 小弟測試結果是404....:D
# by chung
黑大好,我這邊有一台 Windows Server 2003 的 IIS 6 測出了已下訊息... http://i.imgur.com/Ygh7Iqh.png
# by ming
我測試的結果也是404 請問這是安全的意思嗎? 因為那台伺服器從來沒有更新過
# by Jeffrey
to wellxion, ming,若結果為404,請先確認一下直接用瀏覽器 http:// server_to_test/ 是否也是404,若是,先放一個預設網頁(default.html、index.html),或改為GET /已知存在網頁.html,結果才會準確。 to chung, 謝謝你的回饋,莫非這與IIS6相關檔案版本與狀態有關,我會再找幾台機器測看看。
# by ming
請問[將"GET /"改為存在的網頁] 是指 GET /404ERROR.html HTTP/1.1 Host: MS15034 Range: bytes=0-18446744073709551615 還是 /404ERROR.html HTTP/1.1 Host: MS15034 Range: bytes=0-18446744073709551615 哪一種呢?
# by Jeffrey
to ming, 先用瀏覽器成功連上網站的任一有效網址以確認該網頁存在,例如,網站主目錄下有一個about.html,且瀏覽器可以成功開啟http:// your_server/about.html,則「GET /」的部分要改成「GET /about.html」。以你的案例就是「GET /404ERROR.html」,其餘部分不變。
# by wellxion
to jeffrey, 重新測試結果變成400了 :D 不過令人好奇的是那台主機是2008 R2 SP1 但是沒更新過KB3042553才對 看起來應該是某次KB更新導致的問題=A=?
# by 艾里克斯
我測出來的是 Bad Request - Invalid Verb 和您的 Invalid Header 不同, 表示我的測試方式有誤嗎 XD ?
# by Jeffrey
to 艾里克斯,Invalid Verb應是HTTP Request不合Web的要求,使用瀏覽器輸入該網址能正常開啟嗎?若可以,有可能是你送出的Request內容缺少必要Header或格式不符,可以用F12網頁偵錯工具觀察一下瀏覽器送出內容再模仿改寫,找出問題關鍵。
# by Sam
我在win8.1上裝的iis 也會 Request Range Not Satisfiable 但我改了一下Range 結果它給我iisstart的頁面 這是代表有溢位嗎?
# by Sam
噢~不是…是我要求的range通過條件,它回傳根目錄下的default page-iisstart.htm的內容。這range數字剛好是hex的-1999999999999999,我丟-9999999999999999就是正常的。所以一定要-1999999999999999才有作用嗎?