微软拒绝修复60万台 Windows 2003 Web服务器安全漏洞

作者:星期一, 四月 3, 20170
分享:

启用了WebDAV的 Windows Server 2003 机器遭遇安全漏洞影响

接入互联网的约60万台 Windows Server 2003 机器上存在 IIS 6.0 重大安全漏洞。

然而,微软发话称,不会发布补丁供用户防护该零日缓冲区溢出漏洞。相关技术报道参见:CVE-2017-7269 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269 )。

该漏洞存在于微软Web服务器 IIS 6.0 的网页分布式创作与版本管理(WebDAV)组件中。WebDAV是HTTP协议的一个扩展,可使客户端远程编写网页内容。

WebDAV中有个名为PROPFIND的方法,供用户获取资源的属性,还有个称为IF的头处理状态标记。安全厂商趋势科技在博客文章中报道:在PROPFIND请求中填入过大的IF头,攻击者便可制造拒绝服务条件,或者在应用中执行任意代码。

该漏洞发现者为华南理工大学的研究人员。去年已观测到野生漏洞利用的情况。在3月27号公开漏洞之时,研究人员称,其他黑客现已处在基于原始概念验证(PoC)代码创建恶意代码的阶段。

漏洞在运行有 IIS 6.0 的 Windows Server 2003 R2 系统中被发现。微软对 Windows Server 2003 的延长支持期在20个月前就终止了,因此,该漏洞不会有官方安全修复补丁放出。

联网设备搜索引擎Shodan的检索结果显示:IIS 6.0 依然在超过60万台公开服务器上运行着,其中大多数都是 Windows 2003 系统。

但是,这些脆弱服务器的真实数量尚未可知。首先,可能有更多未接入互联网的服务器正在使用中。其次,还有些是没启用WebDAV的。至少Shodan发现的服务器中就仅有10%开启了WebDAV。

Opatch发布了一个CVE-2017-7269补丁,但因为没有官方补丁,用户最好还是禁用WebDAV,如果可能的话,升级到更新的操作系统最好。

微软不理会 Windows Server 2003 重大安全漏洞的事不是第一次发生了。退回到2015年2月,该公司就曾决定不修复该软件中的一个经年漏洞。

 

分享:

相关文章

写一条评论

 

 

0条评论