【安全公告】Microsoft Windows 系统 HTTP.sys 远程执行代码漏洞 (CVE-2015-1635)

微软于2015年4月14日发布 HTTP.sys 远程执行代码漏洞 (CVE-2015-1635) 公告,该漏洞存在 于HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。漏洞 详情请见【1】,漏洞原理分析及重现方法见【2】。

在青云 QingCloud, 该漏洞影响到所有基于以下 Windows 系统映像建立的、且以 IIS 提供web 服务的主机:

  • Windows Server 2008 R2 简体中文 企业版 64位    ID: win2k8r2eechse
  • Windows Server 2008 R2 简体中文 企业版 64位    ID: win2k8r2eechsf
  • Windows Server 2008 R2 英文 企业版 64位           ID: win2k8r2eeend
  • Windows Server 2012 R2 简体中文 标准版 64位    ID: winsrv2012r2chsf
  • Windows Server 2012 R2 简体中文 标准版 64位    ID: winsrv2012r2chse
  • Windows Server 2012 R2 英文 标准版 64位           ID: winsrv2012r2end

我们建议对所有基于以上系统映像创建的、且运行 IIS 的主机,务必做安全更新; 对基于以上映像创建,但不运行 IIS 的 Windows 主机,也建议更新,并关闭 IIS 的监听端口(一般为80)。做完安全更新后须重启主机。

安全更新方案请见【1】,或在主机内部做如下操作:

控制面板—>系统和安全—>更新,然后安装 KB3042553 号补丁。

青云 QingCloud 也会尽快更新所有区受影响的 Windows 系统映像。

【1】https://technet.microsoft.com/zh-cn/library/security/ms15-034.aspx
【2】http://www.freebuf.com/vuls/64195.html