CVE-2007-289 Имя устройства MS-DOS в IIS 8.5 и ASP.NET 4.5

Question

CVE-2007-289 Имя устройства MS-DOS в IIS 8.5 и ASP.NET 4.5

Наша служба безопасности недавно проверила 1 наш сервер и обнаружила определенную уязвимость:
CVE-2007-2897
DoS для имени устройства Microsoft ASP.NET MS-DOS (проверка PCI-DSS)

Поиски и нашли несколько пользователей, упомянутых в соответствии с Microsoft Security Response Center, это не является уязвимостью для IIS 6.0 (или выше?) И ASP.NET> 2.0.
https://www.rapid7.com/db/vulnerabilities/http-iis-msdos-device-dos
https://groups.google.com/forum/#!topic/microsoft.public.inetserver.iis/OUygrC7gO_A
Как заблокировать все запросы от URL с именем устройства MSDOS с помощью фильтра isapi cve 2007-2897

Другие также упоминали, что это можно исправить с помощью URLScan3
https://community.spiceworks.com/topic/835939-iis-6-isapi-filter-for-ms-dos-device-names

Моя машина работает на Win 2012 R2, IIS 8.5 и ASP.NET 4.5. Теперь я не уверен, нужно ли мне это исправить. Если нет, может ли кто-нибудь предоставить мне ссылку MSRC для обоснования? (Я пытался, но не могу найти)
Заранее спасибо.

1

iis windows-server-2012-r2 asp.net iis-8.5 cve

Источник

nlks 13 дек '16 в 07:57

0 ответов

Другие вопросы по тегам iis windows-server-2012-r2 asp.net iis-8.5 cve