Uma atualização de segurança da Microsoft poderia fazer grandes alterações na configuração do IIS como essa?

Navegue suas respostas
5

Recentemente, observei várias alterações significativas na minha configuração do IIS, algumas das quais têm implicações importantes. Eu examinei os backups diários e descobri que a alteração coincidiu com a instalação de várias atualizações de segurança em 12 de setembro de 2014.

As alterações são tudo menos importantes:

  1. O elemento <handlers> foi bloqueado; a atualização desbloqueou e agora o diretório de qualquer site pode ter um web.config que adiciona mapeamentos de manipulador.
  2. Vários mapeamentos de manipulador padrão foram adicionados e herdados em meus sites. Assim, onde anteriormente um site não era permitido para executar, digamos, um arquivo .aspx, após essa atualização, todos os sites puderam executar de repente arquivos .aspx de qualquer diretório.
  3. default.aspx foi adicionado à lista de documentos padrão permitidos.

além de alguns menos significativos, como adicionar um cabeçalho X-Powered-By a cada site que eu executo! Um diff completo está disponível.

Comparando o último carimbo de data / hora modificado de applicationHost.config e o log de atualização, a atualização que fez isso é KB2972211 ou KB2894854 (ambos têm o mesmo registro de data e hora da instalação, portanto, não é possível dizer qual deles é). Eu suspeito que o primeiro, porque o IIS e o ASP.NET são mencionados na descrição.

Sou relativamente novo no IIS, por isso tenho várias perguntas sobre este incidente:

  1. É normal que as atualizações de segurança relacionadas ao IIS façam alterações tão importantes quanto essas?
  2. Seria realmente o KB2972211, ou poderia ser uma mudança mal-intencionada por alguém escondendo seus rastros?
  3. Meu IIS estava configurado incorretamente para começar? Por exemplo. Eu apaguei os mapeamentos do manipulador padrão; eu estava errado em fazer isso e espero que continue assim?
  4. Meus sites supostamente podem fazer essas alterações na configuração raiz sem quebrar / sofrer problemas de segurança?
por RomanSt 23.09.2014 / 22:24

1 resposta

1

Não sabe sobre essas atualizações específicas, mas sim, parece que uma atualização do .Net pode modificar o web.config: link .

Algo a considerar: às vezes, há configurações padrão que "rolam" uma árvore de configuração. Pode haver algo "mais alto" que foi bloqueado e o que você está vendo é uma tentativa de manter um comportamento implícito anteriormente explicitamente.

    
por 06.12.2014 / 20:35

Tags

Separando java stdout e stderr com systemd e sem preencher o diário Usar perfis obrigatórios no servidor Host da Sessão da Área de Trabalho Remota