Назад | Перейти на главную страницу

CVE-2007-289 Имя устройства MS-DOS в IIS 8.5 и ASP.NET 4.5

наша группа безопасности недавно просканировала один из наших серверов и обнаружила конкретную уязвимость:
CVE-2007-2897
DoS на имя устройства Microsoft ASP.NET MS-DOS (проверка PCI-DSS)

Провел некоторый поиск и обнаружил несколько пользователей, упомянутых в соответствии с Центром реагирования на безопасность Microsoft, это не уязвимость для IIS 6.0 (или выше?) И ASP .NET> 2.0.
https://www.rapid7.com/db/vulnerabilities/http-iis-msdos-device-dos
https://groups.google.com/forum/#!topic/microsoft.public.inetserver.iis/OUygrC7gO_A
как заблокировать все запросы от URL-адресов с именем устройства MSDOS с помощью фильтра isapi cve 2007-2897

Другие также упомянули, что это можно исправить с помощью URLScan3.
https://community.spiceworks.com/topic/835939-iis-6-isapi-filter-for-ms-dos-device-names

Моя машина работает на Win 2012 R2, IIS 8.5 и ASP.NET 4.5. Теперь я не уверен, нужно ли мне это исправлять. Если нет, может ли кто-нибудь предоставить мне ссылку MSRC для обоснования? (Я пробовал, но не нашел)
Заранее спасибо.