来源

www.microsoft.com

描述

此安全更新可解决 Microsoft Internet 信息服务 (IIS) 中一个公开披露和一个秘密报告的漏洞。 如果攻击者向需要身份验证的网站发送特制的 HTTP 请求，这些漏洞可能允许特权提升。 这些漏洞允许攻击者绕过指定允许哪种身份验证的 IIS 配置，但不能绕过验证特定用户是否可以访问文件的基于文件系统的访问控制列表 (ACL) 检查。 成功利用这些漏洞仍会限制攻击者对文件系统 ACL 授予给匿名用户帐户的权限。

解决方案

详情参照
http://www.microsoft.com/china/t ... letin/MS09-020.mspx