IIS更新通告:MS15-034
依據iThome的報導,資安研究機構SANS最近公告了一個IIS漏洞:微軟於4/14發佈的安全公告MS15-034,提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞,讓攻擊者有機會透過HTTP Request癱瘓系統,甚至有可能從遠端執行程式碼(聽起來又是緩衝區溢位漏洞)。安全公告發佈的同時,微軟也一併釋出了更新KB3042553,意思是:莫等待,莫依賴,快把IIS更新裝起來!(受影響範圍包含Windows 7/Windows 2008R2/Windows 8/Windows 8.1/Windows 2012/Windows 2012R2)
報導提到要測試漏洞可模擬以下GET Request,看是否會得到Request Range Not Satisfiable回應:
GET / HTTP/1.1
Host: MS15034
Range: bytes=0-18446744073709551615
手癢想實證一下,便開啟一台久未更新的Windows 2008 VM,利用上回介紹過的Telent密技模擬GET Request。(註:若網站無預設網頁,使用瀏覽器直接開啟http:// server_to_test 找不到網頁,請在根目錄下放個index.html或default.html,或將"GET /"改為存在的網頁,否則會得到HTTP 404,測不出真實回應)
果真看到HTTP 416 Request Range Not Satisfiable,代表漏洞存在。
接著執行Windows Update,特別挑出KB3042553安裝。
安裝KB3042553後再做一次相同測試,HTTP 416狀態變成HTTP 400 Bad Request,象徵漏洞修復。
好奇一點:那IIS6呢?Windows 2003未列於MS15-034公告,使用前述方法測試也不會回應HTTP 416,研判不在此波曝險範圍。
所以結論是使用Windows 2003的朋友可以繼續安心使用?喂!不要亂教啦。
事實是,Windows 2003將於2015/7/14終止支援,已是破百的待退老鳥,之後由於不再有安全修補及Hotfix,維運風險將大幅升高,大家手邊如果還有老而彌堅的Windows 2003,建議儘早安排升級以策安全。