此安全更新可解决 Microsoft Internet 信息服务 (IIS) 中一个公开披露和一个秘密报告的漏洞。如果攻击者向需要身份验证的网站发送特制的 HTTP 请求,这些漏洞可能允许特权提升。 这些漏洞允许攻击者绕过指定允许哪种身份验证的 IIS 配置,但不能绕过验证特定用户是否可以访问文件的基于文件系统的访问控制列表 (ACL) 检查。 成功利用这些漏洞仍会限制攻击者对文件系统 ACL 授予给匿名用户帐户的权限。
对于 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 所有受支持版本上的 Microsoft Internet Information Services,此安全更新等级为“重要”。
此安全更新通过修改 WebDAV extension for IIS 处理 HTTP 请求的方式来解决漏洞。
此安全更新解决了 Microsoft 安全通报 971492 中描述的漏洞。
建议。 大多数客户均启用了“自动更新”,他们不必采取任何操作,因为此安全更新将自动下载并安装。 尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。 有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件尽早应用此更新或者利用 Microsoft Update 服务检查更新。
英文版
http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
简体中文版
http://www.microsoft.com/china/technet/security/Bulletin/MS09-020.mspx
Responses to “MS09-020 Vulnerabilities in Internet Information Services (IIS) Could Allow Elevation of Privilege (970483)”
Back Top
Leave a Reply