5 votes

mattlant avatar

Est-ce qu'une mise à jour de sécurité Microsoft pourrait apporter des modifications majeures à la configuration de IIS comme celle-ci?

Demandé el 23 de Septembre, 2014
Quand la question a-t-elle été
410 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai récemment remarqué un certain nombre de changements significatifs dans ma configuration IIS, certains ayant des implications majeures. J'ai fouillé dans les sauvegardes quotidiennes et constaté que le changement coïncide avec l'installation de plusieurs mises à jour de sécurité le 12 septembre 2014.

Les changements sont tout sauf mineurs :

  1. L'élément était verrouillé; la mise à jour l'a déverrouillé et maintenant le répertoire de n'importe quel site peut avoir un web.config qui ajoute des mappages de gestionnaire.
  2. Un grand nombre de mappages de gestionnaire par défaut ont été ajoutés et ont été hérités dans mes sites. Ainsi, là où précédemment un site était interdit d'exécuter, par exemple, un fichier .aspx, après cette mise à jour, tous les sites pouvaient soudainement exécuter des fichiers .aspx à partir de n'importe quel répertoire.
  3. default.aspx a été ajouté à la liste des documents par défaut autorisés.

ainsi que quelques-uns moins importants, comme ajouter un en-tête X-Powered-By à chaque site que je gère ! Un diff complet est disponible.

En comparant la date de dernière modification de applicationHost.config et le journal de mise à jour, la mise à jour qui a fait cela est soit KB2972211 soit KB2894854 (les deux ont la même date d'installation donc je ne peux pas dire lequel c'est). Je soupçonne le premier, car IIS et ASP.NET sont mentionnés dans la description.

Je suis relativement nouveau dans IIS, donc j'ai plusieurs questions sur cet incident :

  1. Est-ce normal que les mises à jour de sécurité liées à IIS apportent des changements aussi importants que ceux-ci ?
  2. Était-ce vraiment KB2972211, ou pourrait-il s'agir d'un changement malveillant par quelqu'un cachant ses traces ?
  3. Ma configuration IIS était-elle mal configurée au départ ? Par exemple, j'ai supprimé les mappages de gestionnaire par défaut ; avais-je tort de le faire et de m'attendre à ce que cela reste ainsi ?
  4. Est-ce que mes sites sont censés pouvoir accepter de tels changements dans la configuration racine sans se casser / subir des problèmes de sécurité ?
Demandé el 23 de Septembre, 2014 par mattlant

Réponse

Trop de publicités?

1voto

strange quark avatar
strange quark Points 2947

Je ne connais pas ces mises à jour spécifiques mais oui, il semble qu'une mise à jour de .Net puisse modifier web.config : http://www.asp.net/whitepapers/aspnet4/breaking-changes.

Une chose à prendre en considération : parfois il y a des paramètres par défaut qui "descendent" dans une arborescence de configuration. Il se peut qu'il y ait quelque chose de "plus haut" qui a été verrouillé et ce que vous voyez est une tentative de maintenir ce qui était auparavant un comportement implicite de manière explicite.

Répondu el 6 de Décembre, 2014 par strange quark (2947 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X