У меня есть клиент, который был просканирован и определен как несовместимый с PCI. Я посмотрел, и у них была установка IIS, позволяющая программе из центрального офиса извлекать и извлекать информацию с их сервера. Многие из причин, по которым они не справились, были исправлены в SP (они были в SP2) или обновлениях безопасности. Я полностью пропатчил сервер до (Windows XP Pro) SP3 со всеми дополнительными обновлениями. Я заставил их сканировать снова, и снова они потерпели неудачу, только на одну уязвимость меньше, которую я исправил вручную (сервер показывал сообщения об отладке / ошибках). Основная проблема, с которой я сталкиваюсь, заключается в том, что когда я исследую код CVE для каждой ошибки, они говорят, что они исправлены в SP2 и выше. Мне интересно, нужно ли мне удалить IIS и выполнить сброс, поскольку я установил исправление до SP3. Любые идеи?
Это было сказано в комментариях, но я не вижу опубликованного ответа, поэтому скажу здесь:
Поддержка IIS 5.0 закончилась 13 июля 2010 г., поэтому любые вновь обнаруженные уязвимости безопасности для этой версии не будут исправлены. Даже если вы примените все доступные исправления, любые эксплойты нулевого дня, разработанные для IIS 5, будут всегда использоваться в вашей системе, если вы не обновитесь до более новой версии.
Точно так же поддержка Windows XP (или уже есть, в зависимости от пакета обновления) быстро прекращается. Microsoft прекратила выпуск обновлений для пакета обновления 2 одновременно с IIS 5. Срок поддержки пакета обновления 3 в настоящее время истекает (и мы не ожидаем новых продлений на этот раз) 8 апреля 2014 г.
Последняя версия IIS - 7.5, и ее можно запускать только как часть Server 2008 R2. Поддержка (включая обновления безопасности) для этих продуктов должна продолжаться как минимум до 2018 года. После (но желательно за некоторое время до этого) вам следует снова выполнить обновление до последних пакетов обновления или более новой версии - в зависимости от того, что применимо.
Источники:
https://en.wikipedia.org/wiki/Windows_XP#Support_lifecycle
https://en.wikipedia.org/wiki/Internet_Information_Services#Versions
http://support.microsoft.com/lifecycle/search/default.aspx