IIS更新通告：MS15-034

依據iThome的報導，資安研究機構SANS最近公告了一個IIS漏洞：微軟於4/14發佈的安全公告MS15-034，提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞，讓攻擊者有機會透過HTTP Request癱瘓系統，甚至有可能從遠端執行程式碼（聽起來又是緩衝區溢位漏洞）。安全公告發佈的同時，微軟也一併釋出了更新KB3042553，意思是：莫等待，莫依賴，快把IIS更新裝起來！（受影響範圍包含Windows 7/Windows 2008R2/Windows 8/Windows 8.1/Windows 2012/Windows 2012R2）

報導提到要測試漏洞可模擬以下GET Request，看是否會得到Request Range Not Satisfiable回應：

GET / HTTP/1.1
Host: MS15034
Range: bytes=0-18446744073709551615

手癢想實證一下，便開啟一台久未更新的Windows 2008 VM，利用上回介紹過的Telent密技模擬GET Request。（註：若網站無預設網頁，使用瀏覽器直接開啟http:// server_to_test 找不到網頁，請在根目錄下放個index.html或default.html，或將"GET /"改為存在的網頁，否則會得到HTTP 404，測不出真實回應）

果真看到HTTP 416 Request Range Not Satisfiable，代表漏洞存在。

接著執行Windows Update，特別挑出KB3042553安裝。

安裝KB3042553後再做一次相同測試，HTTP 416狀態變成HTTP 400 Bad Request，象徵漏洞修復。

好奇一點：那IIS6呢？Windows 2003未列於MS15-034公告，使用前述方法測試也不會回應HTTP 416，研判不在此波曝險範圍。

所以結論是使用Windows 2003的朋友可以繼續安心使用？喂！不要亂教啦。

事實是，Windows 2003將於2015/7/14終止支援，已是破百的待退老鳥，之後由於不再有安全修補及Hotfix，維運風險將大幅升高，大家手邊如果還有老而彌堅的Windows 2003，建議儘早安排升級以策安全。