中华网--科技频道

IIS中发现重大安全性漏洞

　2000-10-24 10:47:26

　　中华网讯　据《日经BP社》报道，10月20日，微软公司宣布，该公司的Web服务器产品“Internet Information Server4.0/5.0（以下简称IIS）”中存在着安全性漏洞。当用户输入某些特定字符串的URL时，该漏洞有可能允许用户在服务器上进行诸如删除及变更文件等操作。解决对策是使用补丁模块（Patch File）。如果使用用来堵塞其它安全性漏洞而发布的模块时，也可以同时堵塞此次公布的安全性漏洞。该补丁软件已经在美国微软的英文网站上公布。Web服务器的管理员最好立即安装该补丁软件。

　　据说此次的安全性漏洞，允许远程用户在Web服务器上执行所有的命令。当远程用户从Web浏览器等输入特定字符串的URL以后，可以与本地用户一样登录到服务器上，并且可以执行命令及操作文件。远程用户不仅可以使用公开文件夹（例如“Inet Pub”），还可以访问保存到与公开用文件夹相同的驱动器上的所有的文件。

　　远程用户可以使用嵌入Windows NT/2000的帐号“IUSER_机器名”的权限，执行命令及访问文件。“IUSER_机器名”是供访问IIS的用户浏览Web网页时所需要的帐号。在一般情况下，由于“IUSER_机器名”是为“Everyone集团”及“User集团”成员而设置的，因此绝大部分的文件及文件夹都可以被访问。

﹣相关报道

推荐给朋友

进入BBS

进入聊天室

关闭窗口

科技检索

科技主编信箱