协作 : Cisco Collaboration Server (CS)

Cisco Collaboration Server排除HTTP TRACE/TRACK方法造成的安全漏洞故障

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文讨论步骤在使用Microsoft互联网信息服务的产品的HTTP TRACE/TRACK方法造成的安全漏洞附近工作(IIS)作为网络服务器。Cisco协作服务器5.0使用IIS 5.0作为网络服务器并且是易受此漏洞。解决方案将使用Microsoft的URLScan工具禁用HTTP TRACE/TRACK方法。

先决条件

要求

Cisco 建议您了解以下主题:

  • Microsoft Windows 2000 Server

  • Cisco协作服务器5.0

  • Microsoft IIS 5.0

  • Microsoft URLScan工具

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Microsoft Windows 2000

  • Cisco协作服务器版本5.0

  • Microsoft IIS 5 (当曾经Windows 2000)时

  • Microsoft URLScan 2.5

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

网络服务器HTTP TRACE/TRACK方法支持交叉站点跟踪漏洞

支持HTTP TRACE方法的网络服务器检测。此方法允许调试和连接跟踪分析从客户端的连接到网络服务器。每个HTTP规格,当使用此方法,信息发送对它由未过滤的客户端非限定和的网络服务器响应上一步。Microsoft IIS网络服务器使用一别名跟踪此方法,并且功能上是相同的。

与此方法涉及的漏洞是已发现。有恶意,在网页的激活组件能发送TRACE请求到支持此TRACE方法的网络服务器。通常,浏览器安全从外部禁止访问到网站现在站点的域。虽然不太可能和难达到,在其他浏览器漏洞,为了激活HTML内容面前是可能的,做外部请求到在做主机网络服务器之外的任意网络服务器。由于选定的网络服务器响应然后返回未过滤的客户端的要求,答复也包括浏览器自动地发送对在指定的网络服务器的指定的Web应用程序的基于Cookie的或基于Web的(如果注册)认证证书。TRACE功能的意义在此漏洞的是在受害者用户访问的页的激活组件有没有直接访问对此认证信息,但是接收,在目标网络服务器响应它回到作为TRACE答复后。由于此漏洞存在作为HTTP协议规格描述要求的方法的一支持,最普通的网络服务器易受攻击。

Microsoft IIS :Microsoft发布URLScan (http://www.microsoft.com/windows2000/downloads/recommended/urlscan/default.aspleavingcisco.com ),可以用于筛选根据定制的规则集的所有流入请求。URLScan可以用于清洁或禁用从客户端的TRACE请求。注意IIS别名跟踪跟踪。所以,如果URLScan用于特别地阻塞TRACE方法,应该也添加跟踪方法到过滤器。URLScan在\System32\InetSrv\URLScandirectory使用urlscan.ini配置文件,通常

由于,有两个部分:AllowVerbsDenyVerbs。前面,如果UseAllowVerbs变量设置到1,使用;否则(如果设置到0),使用DenyVerbs。清楚地,二者之一可以使用,根据是否您想要默认拒绝明确允许或默认允许明确拒绝策略。为了禁止TRACE和通过URLScan跟踪方法,第一删除跟踪,跟踪从AllowVerbs部分的方法并且添加他们到DenyVerbs部分。使用该方法,使用此, URLScan将禁止所有TRACE并且跟踪方法,并且生成所有请求的一个错误页。为了启用更改,请重新启动从Services>控制面板项目的Web发布服务。

安装并且配置URLScan工具版本2.5禁用HTTP TRACE/TRACK方法

完成这些步骤:

  1. 安装在Cisco协作服务器的URLScan 2.5。为了下载URLScan 2.5,参考此Microsoft网站:

    http://microsoft.com/downloads/details.aspx?FamilyId=23D18937-DD7E-4613-9928-7F94EF1C902A&displaylang=enleavingcisco.com

  2. 编辑urlscan.ini属性文件现在<Windows2000服务器安装drive>:\WINNT\system32\inetsrv\urlscan。

  3. 默认情况下更改从0的AllowDotinPath属性到1., URLScan不允许在URL的小点,并且Cisco协作服务器要求将设置的此属性到1 (代理程序不能登录,如果此属性设置到0)。

  4. 添加TRACE并且跟踪方法在DenyVerbs部分下,并且更改从1的AllowVerbs属性到0。

  5. 重新启动从Services>控制面板项目的互联网信息Services(IIS)/全球资讯网服务在Cisco协作服务器。


相关信息


Document ID: 107523