如何防止IIS服务器

Question

我将我的asp.net 4.0应用程序部署到Windows Server 2008 R2 Standard中。该应用程序正常运行，但我们公司的安全团队报告了以下问题。

  

WebInspect在IIS服务器中检测到一个关键的HTTP.sys远程执行代码漏洞。标识为CVE-2015-1635，该漏洞在基于Microsoft Windows的服务器上显示，当使用HTTP发送带有格式错误的Range标头的Web请求时，该服务器使用未修补的HTTP内核模式驱动程序HTTP.sys。该漏洞可以使攻击者通过特制的HTTP请求在目标Web服务器上实现远程代码执行。

如何在IIS服务器上阻止此安全问题？

Answer 1

以下是有关此问题的完整详情。

1. 这是Windows修补问题（如果Windows服务器2008 R上未安装Microsoft更新MS15-034。
2. 要解决此问题，请按照以下步骤进行操作 一个。请在继续之前备份我们的数据。 湾要永久解决此问题，您必须应用名为MS15-034的此修补程序，此修补程序可通过Windows更新获得。这需要由服务器管理员或生产工程师（PE）完成。 C。我们还可以通过禁用IIS内核缓存来临时解决此问题，因为默认情况下它已启用，但这会影响系统性能。