Azure Web App 已识别目标网站正在使用 IIS,并检测到它已过期 - 如何更改运行 Windows 的 Web 应用程序的安全扫描已被识别为高漏洞。由于这是旧版本的软件,因此可能容易受到攻击。当服务器:Microsoft-IIS/10.0
外部参考:https://nvd.nist.gov/vuln/detail/CVE-1999-0229 Internet 信息服务其他漏洞 IIS 允许本地用户通过 ASP 页面中 Visual Basic 脚本中的无效正则表达式导致拒绝服务。受影响的版本:10.0 外部参考https://nvd.nist.gov/vuln/detail/CVE-2000-0115
使用 Azure Web 应用程序时,我们如何执行以下操作来解决此问题?
补救措施 将 IIS 升级到更高版本不是独立操作。IIS 版本在很大程度上取决于您在服务器计算机上使用的 Windows 操作系统版本。如果由于这种原因无法将 IIS 升级到更高版本,我们强烈建议您跟踪并应用供应商发布的补丁。请注意,IIS 的所有更新和补丁都以 Windows 更新的形式提供。此外,您可以选择要应用哪些更新包。
答案1
如上所述,针对本地 IIS 安装的扫描不适用于 PaaS 服务。Azure Web Apps 是 Microsoft 提供的托管服务,使用该服务即表示您信任 Microsoft 来管理、更新和保护该服务,因此您必须假设他们正在这样做。如果您不愿意这样做,那么您应该考虑在您拥有完全控制权的 VM 中运行自己的 Web 服务器,但您将失去 PaaS 服务的所有好处。