Вопрос: Может ли обновление безопасности Microsoft внести существенные изменения в конфигурацию IIS, как это?


Недавно я заметил ряд существенных изменений в моей конфигурации IIS, некоторые из которых имеют серьезные последствия. Я вырыл ежедневные резервные копии и обнаружил, что изменение совпадает с установкой нескольких обновлений безопасности 12 Sep 2014.

Изменения ничего, кроме незначительных:

  1. <handlers> элемент заблокирован; обновление разблокировало его, и теперь в каталоге любого сайта может быть файл web.config, который добавляет сопоставления обработчиков.
  2. Было добавлено множество сопоставлений обработчиков по умолчанию, которые были унаследованы на мои сайты. Поэтому, когда ранее сайт был запрещен для выполнения, скажем, файла .aspx, после этого обновления все сайты внезапно могли выполнять .aspx-файлы из любой директории.
  3. default.aspx был добавлен в список разрешенных документов по умолчанию.

плюс несколько менее значительных, таких как добавление заголовка X-Powered-By на каждый отдельный сайт, который я запускаю! полный diff доступен.

Сравнение последней измененной метки времени applicationHost.config и журнал обновлений, обновление, которое сделало это, либо KB2972211 или KB2894854 (оба имеют одну и ту же временную метку установки, поэтому не могут определить, какой из них она есть). Я подозреваю, что первый, поскольку IIS и ASP.NET упоминаются в описании.

Я относительно новичок в IIS, поэтому у меня есть несколько вопросов об этом инциденте:

  1. Является ли это стандартом для обновлений безопасности, связанных с IIS, для внесения в них больших изменений?
  2. Действительно ли это был KB2972211, или это может быть злонамеренное изменение кем-то, скрывающим их следы?
  3. Был ли мой ИИС неправильно настроен? Например. Я удалил сопоставления обработчиков по умолчанию; был ли я неправ, чтобы сделать это, и ожидать, что он останется таким?
  4. Могут ли мои сайты использовать такие изменения в корневой конфигурации, не нарушая / не затрагивая проблемы безопасности?

5
2017-09-23 20:24


Источник




Ответы:


Не знаю об этих конкретных обновлениях, но да, похоже, обновление .Net может изменить web.config: http://www.asp.net/whitepapers/aspnet4/breaking-changes,

Что-то для рассмотрения: иногда есть настройки по умолчанию, которые «сворачивают» вниз по дереву конфигурации. Там может быть что-то «выше», которое было заблокировано, и то, что вы видите, является попыткой поддерживать ранее неявное поведение явно.


1
2017-12-06 19:35