绿盟安全月刊->第11期->业界动态 补丁不能保证微软IIS安全性

日期：2000-07-11

尽管已经有了相应的补丁程序，微软的因特网信息服务器（IIS）的一个允许任何使用网络浏览器的用户获得服务器管理权的老毛病依然让很多站点头痛不已。

    还是在去年，这个问题在网上的许多张贴栏公布，引起了恐慌。微软随即在去年的六月十五日出版了补丁。但是，一个细心的用户很快发现并指出这个补丁安装起来都有问题。

    这个程序漏洞使一个未经授权的访问者能够判断正在运行的NT版本，并能看到或轻易猜到文件的目录从而更进一步操作这个网站。在一个运行购物车程序的商务站点，这个漏洞会很轻易就泄露顾客的帐号细节。

    象Safeway, IKEA和Tower Records这些知名的公司都在用这个甚至还没用补丁的系统。毫无疑问，数以千记的不知名的小网站也同样在使用它。我们已经知道了这个问题在以上提到的这些例子里的危害，由于显而易见的原因，这里就不再谈细节了。