12月29日,周四推出的ASP.NET安全更新
[原文发表地址] ASP.NET Security Update Shipping Thursday, Dec 29th
[原文发表时间] 2011-12-28 20:59
几分钟前微软发布了安全公告预先通知,这意味着我们正式发布了一个外带的安全更新来处理ASP.NET的安全漏洞.
更新:安全更新(MS11-100)已经推出了,可通过Windows Update,Windows Server Update Service更新,或从Microsoft 下载中心获取。
我们发布的安全更新可解决ASP.NET所有版本中存在的公开披露的拒绝服务问题。在客户使用此可攻击漏洞时,我们目前还没有发现任何对 ASP.NET 的攻击,但我们强烈鼓励客户尽快部署更新。
我们是通过 Windows Update和 Windows Server Update Service来发布的安全更新。您也可以通过Microsoft 下载中心手动下载和安装它。我们将在12 月 29日星期四,大约上午10点,太平洋时间 (美国和加拿大) 发布更新。我们提前宣布它,以确保管理员知道安全更新来了,并准备好在一旦更新发布的时候。
关于安全漏洞更多信息
2011 年 12 月 28 日,安全会议上发表了详细信息,描述了一种新的方法来攻击 web 框架中哈希表的数据结构。针对这种漏洞的攻击是一般被称为"哈希碰撞攻击(Hash collision attacks)"。
哈希碰撞攻击尝试在服务器应用程序内用大量项目填充哈希表,这些项目的键解析相同的哈希代码。这些键的碰撞可以明显降低哈希表中的操作,并有足够的元素可能会导致服务器花几分钟 (或甚至几小时) 处理它们。这可以阻止web 服务器处理其他用户的请求,并导致拒绝服务 (指网站变得没有响应或慢速)。
像这样的攻击并不特定于任何特定的语言或操作系统。出席者在安全会议上讨论了针对几个不同的 web 框架 (包括 ASP.NET)如何使用标准的 HTTP 窗体发送导致它们的。因为这些对 web 框架的攻击可以制造相对较少的 HTTP 请求拒绝服务问题,使用这种方法有很高的攻击可能性。我们强烈鼓励客户能够尽快部署更新。
我们在12 月 29 日星期四发布的安全更新同时也更新了 ASP.NET,那样攻击者不能再执行这些攻击。此安全更新不需要任何代码或应用程序的更改。
了解更多信息
您可以从微软安全咨询 (2659883)(我们已经发布了)了解更多有关此安全漏洞的信息。我们将在Windows Update、 Windows Server Update Service和 Microsoft 下载中心于12月29日周四大约上午10太平洋时间 (美国和加拿大) 发布安全更新。我们还将在12 月 29 下午1点(太平洋标准时间)网络广播此问题。请单击此处进行注册。
如果您对此漏洞有疑问,或应用此更新时遇到任何问题,可以在www.asp.net网站上的安全漏洞论坛发表问题。
您也可以在Twitter @ MSFTSecResponse上查看MSRC 团队所有的最新信息。
希望有所帮助。
Scott
Comments
- Anonymous
February 23, 2012
Visual Studio 11 测试版和.NET Framework 4.5 测试版将于下周,2月29日(美国时间)正式发布,详细信息可访问 blogs.msdn.com/.../vs-11.aspx