我有一个客户端被扫描并确定不符合 PCI 标准。我查看了他们的 IIS 设置,以允许来自中央办公室的程序从他们的服务器推送/拉取信息。他们失败的许多原因似乎已在 SP(他们在 SP2 上)或安全更新中得到解决。我将服务器完全修补到(Windows XP Pro)SP3,并带有所有可选更新。我让他们一次又一次地扫描他们失败了,只有一个我手动更正的漏洞(服务器显示调试/错误消息)。我遇到的主要问题是,当我研究每个错误的 CVE 代码时,他们说它们已在 SP2 及更高版本中得到修复。我想知道是否需要删除 IIS 并重新设置,因为我已修补到 SP3。有任何想法吗?
评论里已经说过了,但是我没有看到发布的答案,所以我会在这里说:
对 IIS 5.0 的支持已于 2010 年 7 月 13 日结束,因此不会修补该版本的任何新发现的安全漏洞。即使您应用了所有可用的补丁,任何针对 IIS 5 开发的零日漏洞也将永远可用于您的系统,除非您升级到更新版本。
同样,对 Windows XP 的支持即将结束(或已经拥有,取决于 Service Pack)。Microsoft 停止在 IIS 5 的同时发布 Service Pack 2 的更新。目前对 Service Pack 3 的支持计划于2014 年 4 月 8 日到期(我们预计这次不会有更多扩展)。
IIS 的最新版本是 7.5,只能作为 Server 2008 R2 的一部分运行。对这些产品的支持(包括安全更新)应至少持续到 2018 年。在那之后(但最好提前一段时间),您应该再次升级到最新的 Service Pack 或更新版本 - 以适用者为准。
资料来源:
https://en.wikipedia.org/wiki/Windows_XP#Support_lifecycle
https://en.wikipedia.org/wiki/Internet_Information_Services#Versions
http://support.microsoft.com/lifecycle/search/default.aspx
| 归档时间: |
|
| 查看次数: |
296 次 |
| 最近记录: |