我们的安全团队最近扫描了我们的 1 台服务器,并检测到特定的漏洞:
CVE-2007-2897
Microsoft ASP.NET MS-DOS 设备名称 DoS(PCI-DSS 检查)
进行了一些搜索并发现几个用户根据 Microsoft 安全响应中心提到,这对于 IIS 6.0(或更高版本?)和 ASP .NET > 2.0 来说不是一个漏洞。
https://www.rapid7.com/db/vulnerabilities/http-iis-msdos-device-dos
https://groups.google.com/forum/#!topic/microsoft.public.inetserver.iis/OUygrC7gO_A
如何使用 isapi 过滤器 cve 2007-2897 阻止来自具有 MSDOS 设备名称的 URL 的所有请求
其他人也提到可以使用 URLScan3 修复此问题
https://community.spiceworks.com/topic/835939-iis-6-isapi-filter-for-ms-dos-device-names
我的机器是 Win 2012 R2、IIS 8.5 和 ASP.NET 4.5。现在我不确定是否需要修复这个问题。如果不需要,有人能给我提供 MSRC 链接来说明原因吗?(我试过了,但似乎找不到)
提前谢谢。