我正在使用 Nexpose 对 Windows 2008 R2 SP1 机器进行评估。扫描仪显示系统需要几个补丁,但过去系统管理员曾表示系统已完全修补并处于最新状态。我想做的是在通知 SA 之前手动确定是否需要补丁,但我很难确定是否真的需要补丁。MS12-073(Internet Information Services 7.5 KB2719033)就是一个例子。
我正在使用 2 个系统,一个由我管理(用于测试),另一个由另一个系统管理员管理。两者都是 Windows 2008 R2 SP1(基于 x64)。Nexpose 报告说两个系统都需要修补程序(它会检查注册表中的特定条目)。我在 OVAL 网站上查看了漏洞(http://oval.mitre.org/repository/data/item/show?id=oval%3aorg.mitre.oval%3adef%3a15959),我对“定义概要”部分感到困惑。首先,它有 2 个“检查易受攻击的文件版本”部分,但它们基本相同,只是版本不同。我的修补系统(我管理和安装了修补程序 KB2719033)的 aspnetca.exe 版本为 7.5.7601.17514。根据 oval.mitre.org,我的系统易受攻击。我读错了吗?
我还尝试通过 Microsoft 网站使用“文件信息”表进行验证(http://support.microsoft.com/kb/2719033),但它列出了同一文件的多个版本。我听到了微软发布的一份 Excel 文档,其中列出了补丁以及它们是否已被取代,但这个补丁并没有被列为被另一个补丁取代 (go.microsoft.com/fwlink/?LinkID=245778)
我的问题是如何阅读“文件信息”表(来自 Microsoft 网站)或 oval 网站来确定系统是否真的存在漏洞?或者是否有更好更简单的方法来真正确定是否需要修补程序(不使用我无法访问的 Windows 更新过程)。
编辑 我想我正在寻找更多的框架来确定是否需要补丁。我还有其他可能是误报的例子(另外两个是 MS11-013 和 MS13-081)。我尝试使用来自 Microsoft 和 OVAL 进程的文件信息,但对于 KB2719033,这些进程告诉我我仍然容易受到攻击,即使我已经在测试系统上手动应用了补丁。
答案1
您的系统仍然容易受到攻击……可能是因为补丁安装不正确。让他们安装手动修补并再次检查。