Microsoft 資訊安全公告 MS14-076 - 重要

  • 發行項

Internet Information Services (IIS) 中的資訊安全風險可能會允許資訊安全功能略過 (2982998)

發行日期:2014 年 11 月 11 日 | 已更新:2014 年 12 月 19 日

版本: 1.1

提要

此資訊安全更新解決了 Microsoft Internet Information Services (IIS) (英文) 中一項未公開報告的資訊安全風險,該資訊安全風險可略過「IP 和網域限制」資訊安全功能。若成功利用此資訊安全風險,可能會導致限制或封鎖網域的用戶端無法存取限制的網路資源。

對於所有受支援版本的 Microsoft Windows 8、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 RTM,此資訊安全更新的等級為「重要」。如需更多資訊,請參閱<受影響的軟體>一節。

此資訊安全更新變更了 IIS 在存在特定的 IP 和網域限制設定時處理要求的方式,進而解決此項資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱特定資訊安全風險的<常見問題集 (FAQ)>小節。

如需本文件的更多資訊,請參閱 Microsoft 知識庫文件編號 2982998 (英文)。

受影響的軟體

下列軟體已經過測試判斷哪些版號或版本會受到影響。其他版本超過它們的支援週期或不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

**作業系統** **元件** **最大安全性影響** **彙總嚴重性等級** **已取代更新**
**Windows 8 和 Windows 8.1**
Windows 8 32 位元系統 [Microsoft Internet Information Services 8.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44806) (2982998) 資訊安全功能略過 重要說明
適用於 x64 型系統的 Windows 8 [Microsoft Internet Information Services 8.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44807) (2982998) 資訊安全功能略過 重要說明
Windows 8.1 32 位元系統 [Microsoft Internet Information Services 8.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=44848) (2982998) 資訊安全功能略過 重要說明
適用於 x64 型系統的 Windows 8.1 [Microsoft Internet Information Services 8.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=44854) (2982998) 資訊安全功能略過 重要說明
**Windows Server 2012 和 Windows Server 2012 R2**
Windows Server 2012 [Microsoft Internet Information Services 8.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44833) (2982998) 資訊安全功能略過 重要說明
Windows Server 2012 R2 [Microsoft Internet Information Services 8.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=44804) (2982998) 資訊安全功能略過 重要說明
**Server Core 安裝選項**
Windows Server 2012 (Server Core 安裝) [Microsoft Internet Information Services 8.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44833) (2982998) 資訊安全功能略過 重要說明
Windows Server 2012 R2 (Server Core 安裝) [Microsoft Internet Information Services 8.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=44804) (2982998) 資訊安全功能略過 重要說明
 

嚴重性等級和弱點識別碼

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 11 月份公告摘要中的<弱點索引>。

受影響的軟體 IIS 資訊安全功能略過資訊安全風險 - CVE-2014-4078 彙總嚴重性等級
適用於 32 位元系統之 Windows 8 上的 IIS 8.0 重要
資訊安全功能略過		 重要說明
適用於 x64 系統之 Windows 8 上的 IIS 8.0 重要
資訊安全功能略過		 重要說明
適用於 32 位元系統之 Windows 8.5 上的 IIS 8.1 重要
資訊安全功能略過		 重要說明
適用於 x64 系統之 Windows 8.5 上的 IIS 8.1 重要
資訊安全功能略過		 重要說明
適用於 x64 系統之 Windows Server 2012 上的 IIS 8.0 重要
資訊安全功能略過		 重要說明
Windows Server 2012 上的 IIS 8.0 (Server Core 安裝) 重要說明
資訊安全功能略過		 重要說明
適用於 x64 系統之 Windows Server 2012 R2 上的 IIS 8.5 重要
資訊安全功能略過		 重要說明
Windows Server 2012 R2 上的 IIS 8.5 (Server Core 安裝) 重要說明
資訊安全功能略過		 重要說明
  IIS 資訊安全功能略過資訊安全風險 - CVE-2014-4078 ------------------------------------------------ 未針對「IP 和網域限制」篩選清單適當比較傳入 Web 要求時,會導致 Microsoft Information Services ([IIS](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx) (英文)) 存在資訊安全功能略過資訊安全風險。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。此更新可修改輸入 Web 要求與「IP 和網域限制」元件所維護的允許/拒絕清單之比較方式,從而解決資訊安全風險。 ### 緩和因素 Microsoft 尚未找到此項資訊安全風險的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 下列[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)可能對您的狀況有所助益: - **利用路由器/防火牆規則集來拒絕萬用字元網域的連入要求** 如需有關設定 Windows 防火牆的詳細資訊,請參閱[具有進階安全性的 Windows 防火牆概觀](https://technet.microsoft.com/zh-tw/library/hh831365.aspx)。   ### 常見問題集 **什麼是「IP 和網域限制」?** 這是 IIS 的「IP 資訊安全」子元件所提供的功能,可建立允許/拒絕清單來控制 Web 資源的存取。如需詳細資訊,請參閱 [IP 資訊安全](https://www.iis.net/configreference/system.webserver/security/ipsecurity) (英文) 一文。 **2982998 更新是否有任何必要條件?** 有。客戶必須在 Windows 用戶端上啟用 IIS 的「IP 資訊安全」子元件,和/或在 Windows 伺服器上啟用「IP 和網域限制」功能,作為提供資訊安全更新的必要條件。 **攻擊者可能會利用這項弱點採取什麼行動?** 如果 IIS 管理員建立了萬用字元網域限制規則,則來自被拒絕網域的攻擊者可存取 IIS 管理員認為已受到限制的網站。 **攻擊者如何利用這項弱點?** 若要利用此資訊安全風險,攻擊者需要具備遠端 IIS 伺服器和相對應網路拓撲的深入知識。攻擊者也必須擁有其反向 DNS 資訊的控制權,或能夠破壞 IIS 伺服器的授權 DNS,如此才能提供其格式會造成資訊安全風險的網域名稱。 **因為這個弱點而承受風險的主要系統有哪些?** 具有使用「IP 位址和網域限制」的 IIS,且特別啟用 \[啟用網域名稱限制\] 功能之 Windows 系統的風險最高。 資訊安全更新部署 ---------------- 如需資訊安全更新部署資訊,請在[這裡](#kbarticle)參閱<提要>中的 Microsoft 知識庫文章。 感謝 ---- Microsoft 了解資訊安全業界所做的努力,其盡責地透露資訊安全風險來協助我們保護客戶。請參閱[認可](https://technet.microsoft.com/zh-tw/library/security/dn820091.aspx) (英文) 以取得詳細資訊。 免責聲明 -------- Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。 日期 ---- - V1.0 (2014 年 11 月 11 日):公告發行。 - V1.1 (2014 年 12 月 19 日):修訂公告,將 Windows 2012 Server Core 安裝和 Windows 2012 R2 Server Core 安裝列入受影響軟體。 *頁面產生時間:2014-12-19 11:50Z-08:00。*