微软在ASP.NET发布DoS零日漏洞解决方案

导读 根据安全公告,微软发布了ASP NET漏洞的变通办法,以帮助保护网站免受潜在的拒绝服务(DoS)攻击。微软可信计算主管Dave Forstrom在微软安

根据安全公告,微软发布了ASP.NET漏洞的变通办法,以帮助保护网站免受潜在的拒绝服务(DoS)攻击。微软可信计算主管Dave Forstrom在微软安全响应中心的博客上写道,公开披露的漏洞将影响所有支持的版本。但是微软“不知道”目前正在使用这个漏洞进行任何残忍的攻击。十二月二十八日。当微软正在开发一个补丁来解决这个错误时,Forstrom没有指出这个补丁什么时候可用。

MSRC工程师Suha Can和Jonathan Ness在安全研究与防御博客上写道,匿名攻击者可以利用零日漏洞有效消耗Web服务器上的所有CPU资源,从而导致拒绝服务。

该漏洞使用包含数千个表单值的特制HTTP请求来创建哈希表,这在计算上非常昂贵。根据本文,任何接受表单数据的ASP.NET网站,以及任何在启用ASP.NET时运行互联网信息服务(IIS)默认配置的网络服务器都可能受到攻击。

福斯特罗姆写道,“我们的团队正在全球范围内夜以继日地工作,开发适当质量的安全更新来解决这个问题。”

根据安全公告,微软提出了一个解决方案,修改Web和应用程序主机配置文件,以定义ASP.NET接受的请求大小的最大限制。微软表示,降低这一限制也将降低ASP.NET服务器和网络应用的“敏感度”。每当发送超过最大限制的请求时,配置更改将导致服务器返回错误。但是,允许用户上传文件的应用程序可能会受到配置更改的影响。

在ASP.NET平台上,大小只有100KB的HTTP请求可以在近2分钟内100%锁定单个CPU内核。攻击者可能会重复发送这些请求,这将导致服务器性能急剧下降,并导致拒绝服务。canness表示,这些请求甚至可能影响多核服务器和服务器集群。

nCircle安全运营总监Andrew Storms告诉eWEEK,利用此漏洞的攻击不同于典型的DoS攻击,因为它们不需要僵尸网络或大量协作来关闭Web服务器。他说,虽然大多数DoS攻击都依赖大量的小请求来淹没Web服务器,但在这种情况下,单个请求可能会消耗一个内核90秒。

Storms说:“其中一些请求每隔几分钟就会排队,网站实际上将被关闭。”

安全研究员朱利安w?Lde和Alexander Klink在12月28日德国举行的混沌通信大会上提出了一种攻击Web应用框架的新方法。他们还在gmane.comp.security的全面披露电子邮件中公布了漏洞的详细信息.列表。

零日漏洞并非ASP.NET独有,受影响的产品列表包括PHP 4和5、Java、Apache Tomcat和Geronimo、Jetty、Oracle Glassfish、Python、Plone、CRuby 1.8、JRuby和Rubinius v8。完全公开名单上的职位。而canness写道,虽然没有狂野的主动攻击,但微软预计“很快”就会发布利用代码。

Storms预测,其他供应商将发布类似的零日公告,并为其他平台提出缓解建议。阿帕奇软件基金会安全团队的Mark Thomas告诉eWEEK,阿帕奇已经为7.0.x和6.0.x更新了Tomcat,并计划将其作为5.5.x发布,其他供应商没有回复查询。

斯托姆说,“每年节假日前后,我们都会进行安全演练,今年也不例外。”

Storms预测微软可能会在本周的某个时候发布一个紧急补丁。Storms表示,测试和部署紧急补丁可能会给大多数企业IT团队带来挑战,因为他们可能是“运行基础架构的人员”。

微软建议ASP.NET网站所有者查看此公告,以“评估拒绝服务的风险”,并实施变通办法和攻击检测机制来保护网站,直到安全更新可用。据福斯特罗姆称,该公司还通过微软主动保护计划与合作伙伴合作,帮助在其他软件产品中建立保护。

免责声明:本文由用户上传,如有侵权请联系删除!