微软日前发布了一篇知识库文章 KB2659883,介绍了之前曝光的一个 DoS 拒绝服务攻击漏洞及暂时解决方案,该漏洞影响很多供应商的 web 应用程序平台,包括微软的 ASP.NET。
不久前一种利用该漏洞获取散列表(hash tables)的新攻击方法被公诸于众,微软所有版本 .NET Framework 都受此影响,可能会导致 ASP.NET 页面的服务器受到非授权拒绝服务攻击。攻击者可以想 ASP.NET 服务器发送一小段代码,从而导致服务器性能严重降低足以产生拒绝服务。
ASP.NET 中存在的这个漏洞影响的操作系统包括:
Windows XP 、Windows Server 2003、Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2。
微软建议 ASP.NET 网站管理员查阅 KB2659883,以评估是否需要采取相关措施。微软承诺很快将会发布解决该问题的安全补丁。
KB2659883页面:http://technet.microsoft.com/en-us/security/advisory/2659883
相关新闻
6
0
来自: 驱动之家
分享到:
相关阅读:
· 使用ASP.NET MVC构建HTML5离线web应用程序(2012-05-14 13:28)· 借鉴ASP.NET的控件模型辅助UI自动化测试(2012-05-07 22:03)
· 迁移现有的ASP.NET网站到Windows Azure(2012-05-01 17:18)
已经有 8 位园友对此新闻发表了看法。 发表评论
热门评论
-
良村 发表于 12-29 14:19文中的说法不对: 1. 不是发送一小段代码导致服务器性能严重降低足以产生拒绝服务,应该是发送一个特殊构建的Post请求(这个请求的所有参数键的Hash值会碰撞,导致所有参数都放在一个hash桶里,导致服务器性能下降)。 2. 这个漏洞属于字符串的Hash键值算法问题,不单单是ASP.NET有这样的问题,凡是用这种Hash算法构建Request参数键值的服务器,都有这个问题。
-
testzhangsan 发表于 12-29 12:17靠,快过年了,怎么这么多事啊,又是 CSDN、天涯等的泄露门,又是微软的漏洞门,还让程序猿过年不?
-
Tony Zhou 发表于 12-29 11:38不必惊慌,要中招一起中 Vendor Status Date Notified Date Updated Adobe Unknown 2011-11-01 2011-11-01 Apache Tomcat Affected 2011-12-28 IBM Corporation Unknown 2011-11-01 2011-11-01 Microsoft Corporation Affected 2011-11-01 2011-12-28 Oracle Corporation Unknown 2011-11-01 2011-11-01 Ruby Affected 2011-11-01 2011-12-28 The PHP Group Affected 2011-12-28
-
DotDot 发表于 12-30 00:10Hash 碰撞攻击。 大家都知道Hash表里需要解决碰撞的问题 即 f(key1)=f(key 2) 时的情况。 在Asp .net 中 Post的 数据,就是存储在的form [],这 就是一种哈希表。 如果利用一系列特殊的KEY使 得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表. 这就会造成哈希表性能急剧下降。 只要数据量足够大 ,就能在短期内使服务器的CPU 占用率很高。从而使服务器无法再接受新的请求。