MS09-020:Internet信息服务中的允许特权提升漏洞

MS09-020:Internet信息服务中的允许特权提升漏洞

版本： 1.0

摘要

此安全更新可解决 Microsoft Internet 信息服务 (IIS) 中一个公开披露和一个秘密报告的漏洞。 如果安全者向需要身份验证的网站发送特制的 HTTP 请求，这些漏洞可能允许特权提升。 这些漏洞允许安全者绕过指定允许哪种身份验证的 IIS 配置，但不能绕过验证特定用户是否可以访问文件的基于文件系统的访问控制列表 (ACL) 检查。 成功利用这些漏洞仍会限制安全者对文件系统 ACL 授予给匿名用户帐户的权限。

建议。 大多数客户均启用了“自动更新”，他们不必采取任何操作，因为此安全更新将自动下载并安装。 尚未启用“自动更新”的客户必须检查更新，并手动安装此更新。

对于管理员、企业安装或者想要手动安装此安全更新的最终用户，Microsoft 建议客户使用更新管理软件尽早应用此更新或者利用 Microsoft Update 服务检查更新。

受影响的软件 

操作系统组件最大安全影响综合严重等级此更新替代的公告

Microsoft Windows 2000 Service Pack 4

特权提升

重要

无

Windows XP Professional Service Pack 2 和 Windows XP Professional Service Pack 3

特权提升

重要

无

Windows XP Professional x64 Edition Service Pack 2

特权提升

重要

无

Windows Server 2003 Service Pack 2

特权提升

重要

无

Windows Server 2003 x64 Edition Service Pack 2

特权提升

重要

无

Windows Server 2003 SP2（用于基于 Itanium 的系统）

特权提升

重要

无

不受影响的软件

操作系统组件

Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2

Microsoft Internet Information Services 7.0

Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2

Microsoft Internet Information Services 7.0

Windows Server 2008（用于 32 位系统）和 Windows Server 2008（用于 32 位系统）Service Pack 2

Microsoft Internet Information Services 7.0

Windows Server 2008（用于基于 x64 的系统）和 Windows Server 2008（用于基于 x64 的系统）Service Pack 2

Microsoft Internet Information Services 7.0

Windows Server 2008（用于基于 Itanium 的系统）和 Windows Server 2008（用于基于 Itanium 的系统）Service Pack 2

Microsoft Internet Information Services 7.0

微软的安全公告:

（）