Microsoft 安全公告 MS10-040 - 重要
Internet Information Services 中的漏洞可能允许远程执行代码 (982666)
发布时间:
版本: 1.0
一般信息
摘要
此安全更新解决 Internet Information Services (IIS) 中的一个秘密报告的漏洞。 如果用户收到特制的 HTTP 请求,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
对于 IIS 6.0、IIS 7.0 和 IIS 7.5,此安全更新的等级为“重要”。有关详细信息,请参阅本节中的“受影响和不受影响的软件”小节。
此安全更新通过更正身份验证来消除该漏洞。 有关漏洞的详细信息,请参阅下一节“漏洞信息”下面特定漏洞条目的常见问题 (FAQ) 小节。
建议。 大多数客户均启用了“自动更新”,他们不必采取任何操作,因为此安全更新将自动下载并安装。 尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。 有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件尽早应用此更新或者利用 Microsoft Update 服务检查更新。
另请参阅本公告后面部分中的“检测和部署工具及指导”一节。
已知问题。 无
受影响和不受影响的软件
已对下列软件进行测试,以确定受到影响的版本。 其他版本的支持生命周期已结束或者不受影响。 要确定软件版本的技术支持生命周期,请访问 Microsoft 技术支持生命周期。
受影响的软件
| 操作系统 | 组件 | 最大安全影响 | 综合严重等级 | 此更新替代的公告 |
|---|---|---|---|---|
| Windows Server 2003 Service Pack 2 | Internet 信息服务 6.0[1] | 远程执行代码 | 重要 | 无 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet 信息服务 6.0[1] | 远程执行代码 | 重要 | 无 |
| Windows Server 2003 SP2(用于基于 Itanium 的系统) | Internet 信息服务 6.0[1] | 远程执行代码 | 重要 | 无 |
| Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 | Internet 信息服务 7.0[1] | 远程执行代码 | 重要 | 无 |
| Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 | Internet 信息服务 7.0[1] | 远程执行代码 | 重要 | 无 |
| Windows Server 2008(用于 32 位系统)和 Windows Server 2008(用于 32 位系统)Service Pack 2 | Internet Information Services 7.0*[1] | 远程执行代码 | 重要 | 无 |
| Windows Server 2008(用于基于 x64 的系统)和 Windows Server 2008(用于基于 x64 的系统)Service Pack 2 | Internet Information Services 7.0*[1] | 远程执行代码 | 重要 | 无 |
| Windows Server 2008(用于基于 Itanium 的系统)和 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 | Internet 信息服务 7.0[1] | 远程执行代码 | 重要 | 无 |
| Windows 7(用于 32 位系统) | Internet Information Services 7.5 | 远程执行代码 | 重要 | 无 |
| Windows 7(用于基于 x64 的系统) | Internet Information Services 7.5 | 远程执行代码 | 重要 | 无 |
| Windows Server 2008 R2(用于基于 x64 的系统) | Internet Information Services 7.5* | 远程执行代码 | 重要 | 无 |
| Windows Server 2008 R2(用于基于 Itanium 的系统) | Internet Information Services 7.5 | 远程执行代码 | 重要 | 无 |
*服务器核心安装受到影响。 此更新适用于 Windows Server 2008 或 Windows Server 2008 R2 的受支持版本,严重等级相同,无论是否使用“服务器核心”安装选项进行了安装。 有关该安装选项的详细信息,请参阅 MSDN 文章服务器核心和Windows Server 2008 R2 的服务器核心。注意,服务器核心安装选项不适用于 Windows Server 2008 和 Windows Server 2008 R2 的某些版本;请参阅比较服务器核心安装选项。
[1]该操作系统仅在安装了 “对身份验证的扩展保护”时才受影响。 参阅Microsoft 知识库文章 973917。有关详细信息,请参阅“与此安全更新相关的常见问题 (FAQ)”中的该条目。
不受影响的软件
| 操作系统 | 组件 |
|---|---|
| Microsoft Windows 2000 Service Pack 4 | Internet 信息服务 5.0 |
| Windows XP Service Pack 2 和 Windows XP Service Pack 3 | Internet 信息服务 5.1 |
| Windows XP Professional x64 Edition Service Pack 2 | Internet 信息服务 6.0 |
与此安全更新相关的常见问题 (FAQ)
漏洞信息
严重等级和漏洞标识符
IIS 身份验证内存损坏漏洞 - CVE-2010-1256
更新信息
检测和部署工具及指导
安全更新部署
其他信息
Microsoft Active Protections Program (MAPP)
为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。 然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。 要确定是否可从安全软件供应商处得到活动保护,请访问计划合作伙伴(在 Microsoft Active Protections Program (MAPP) 合作伙伴中列出)提供的活动保护网站。
支持
- 美国和加拿大的客户可以通过安全支持或 1-866-PCSAFETY 获得技术支持。 与安全更新有关的电话支持服务是免费的。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持网站。
- 其他国家(或地区)的用户可从当地的 Microsoft 分公司获得支持。 与安全更新有关的支持服务不收取任何费用。 有关如何就支持问题与 Microsoft 取得联系方面的详细信息,请访问国际支持网站。
免责声明
Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订版本
- V1.0(2010 年 6 月 8 日): 已发布公告。