Microsoft IIS 密码信息泄露漏洞（MS12-073)

BUGTRAQ ID: 56439 CVE ID: CVE-2012-2531 Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS 7.5对操作日志使用了弱权限，没有正确限制对某些日志文件的访问，通过读取此文件，可允许本地用户获取已配置账户的用户名和密码。要利用此漏洞需要启用IIS的操作日志。 0 Microsoft IIS 7.x 临时解决方法： * 如果已经启用了IIS的"Operational"日志，则在分配给应用池自定义账户之前，请禁用 IIS配置的"Operational"，然后在关联了账户之后，重启"Operational"日志。 * 使用内置账户ID（例如LocalService, ApplicationPoolIdentity,等）而非应用池内 的自定义账户。 * 阻止非管理员账户访问EventViewer嵌入式管理单元。 厂商补丁： Microsoft --------- Microsoft已经为此发布了一个安全公告（MS12-073）以及相应补丁: MS12-073：Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Information Disclosure (2733829) 链接：http://www.microsoft.com/technet/security/bulletin/MS12-073.asp