IIS新漏洞　eEye教您如何用！

eEye Digital Security针对微软Internet Information Server（IIS）发表修正程式，用以关闭日前该组织发现的安全漏洞，虽然该修正程式不能解决所有潜在的安全问题，但却可对企图闯关者加以监控。微软IIS的漏洞，系可让骇客使用过期的密码透过网路侵入系统。

微软在九天前即已收到有关该漏洞的警告，微软仅公布该漏洞的使用问题，并教导管理者暂时解决方案，但却迟迟未能加以更新。故eEye在ZDNN的建议下公布此修正程式。而据网路保全公司根据已发生的案例表示，骇客利用此漏洞，几乎可以侵入所有架在MS Windows NT上的网站。

eEye Digital Security是专门开发网路保全系统的公司，是於六月六日发现此一漏洞，当时，该公司的Retina网路保全系统，侦测到有人利用此漏洞，侵入系统并导致NT伺服器当机。该公司的工程师立刻发现此漏洞不仅仅可以造成系统当机，更可完全接管系统，eEye总裁Firas Bushnaq表示，该公司立刻将此漏洞相关资料交给微软，但一周後，微软仍未对该问题做出任何反应。

看到微软的不重视，eEye决定采取行动，除公开该漏洞的细节外，更发表两组展示程式，让任何人都可透过这两套程式入侵任何架设IIS 4.0的伺服器，即使有防火墙保护，骇客依然可得手。对於公开漏洞及发表展示程式，eEye特别说明理由，他们认为『如果eEye不公开漏洞，我们就与隐瞒问题且不断促销的软体公司无异。』

不过，微软显然对此不以为然，该公司保全经理Scott Culp即指出，负责的保全公司，不应该提供可攻击无辜者的武器。当然，eEye的Bushnaq并不同意，他说明道：“一个普通的骇客，在两小时内就可透过该漏洞，发展出一套攻击程式。”

微软在六月十五日晚上六点公开关於此漏洞的说明，并提供管理者暂时解决方案。但不幸的是，此方案会造成用户上载网页後无法修改过期的密码。微软宣称完整的解决方案不会有此问题，用户可根据微软网页上的说明解决此问题，并可在保全电子报中登录以利未来讯息的接收。有趣的是，此漏洞仅仅是微软NT/IIS众多问题中的一个。如果用户想用NT做为网路上的网页伺服器，微软在网页上对此做出相当多保全建议，用户必需关闭许多NT为人称道的功能，包括POSIX能力，某些特殊状况甚至微软会建议用户将硬碟重新格式化。