我最近注意到我的 IIS 配置发生了一些重大变化,其中一些变化影响重大。我查看了每日备份,发现这些变化与 2014 年 9 月 12 日安装的几个安全更新相吻合。
这些变化绝非小事:
- 该
<handlers>元素已被锁定;更新将其解锁,现在任何站点的目录都可以有一个添加处理程序映射的 web.config。 - 添加了大量默认处理程序映射,并将它们继承到我的网站中。因此,以前不允许某个网站执行 .aspx 文件,但在此更新之后,所有网站突然都能从任何目录执行 .aspx 文件。
default.aspx已添加到允许的默认文档列表中。
还有一些不太重要的,比如在我运行的每个网站上添加 X-Powered-By 标头!完全差异可用。
比较上次修改的时间戳applicationHost.config和更新日志,执行此操作的更新要么是KB2972211或者KB2894854(两者的安装时间戳相同,因此无法判断是哪一个)。我怀疑是前者,因为描述中提到了 IIS 和 ASP.NET。
我对 IIS 还比较陌生,因此对于此事件我有几个疑问:
- IIS 相关的安全更新做出如此重大的改变是正常的吗?
- 它真的是 KB2972211 吗,或者它可能是某些人隐藏踪迹而进行的恶意更改?
- 我的 IIS 是否从一开始就配置错误?例如,我删除了默认处理程序映射;我这样做是错误的,并希望它保持这种状态吗?
- 我的网站是否应该能够对根配置进行这样的更改而不会破坏/遭受安全问题?
答案1
不知道这些具体的更新,但是的,看起来.Net 的更新可以修改 web.config: http://www.asp.net/whitepapers/aspnet4/breaking-changes。
需要考虑的是:有时默认设置会“滚动”到配置树下方。可能有些“更高”的设置被锁定,而您看到的是试图明确地维护先前隐含的行为。