根据安全公告，微软发布了ASP.NET漏洞的变通办法，以帮助保护网站免受潜在的拒绝服务(DoS)攻击。微软可信计算主管Dave Forstrom在微软安全响应中心的博客上写道，公开披露的漏洞将影响所有支持的版本。但是微软“不知道”目前正在使用这个漏洞进行任何残忍的攻击。十二月二十八日。当微软正在开发一个补丁来解决这个错误时，Forstrom没有指出这个补丁什么时候可用。

MSRC工程师Suha Can和Jonathan Ness在安全研究与防御博客上写道，匿名攻击者可以利用零日漏洞有效消耗Web服务器上的所有CPU资源，从而导致拒绝服务。

该漏洞使用包含数千个表单值的特制HTTP请求来创建哈希表，这在计算上非常昂贵。根据本文，任何接受表单数据的ASP.NET网站，以及任何在启用ASP.NET时运行互联网信息服务(IIS)默认配置的网络服务器都可能受到攻击。

福斯特罗姆写道，“我们的团队正在全球范围内夜以继日地工作，开发适当质量的安全更新来解决这个问题。”

根据安全公告，微软提出了一个解决方案，修改Web和应用程序主机配置文件，以定义ASP.NET接受的请求大小的最大限制。微软表示，降低这一限制也将降低ASP.NET服务器和网络应用的“敏感度”。每当发送超过最大限制的请求时，配置更改将导致服务器返回错误。但是，允许用户上传文件的应用程序可能会受到配置更改的影响。

在ASP.NET平台上，大小只有100KB的HTTP请求可以在近2分钟内100%锁定单个CPU内核。攻击者可能会重复发送这些请求，这将导致服务器性能急剧下降，并导致拒绝服务。canness表示，这些请求甚至可能影响多核服务器和服务器集群。

nCircle安全运营总监Andrew Storms告诉eWEEK，利用此漏洞的攻击不同于典型的DoS攻击，因为它们不需要僵尸网络或大量协作来关闭Web服务器。他说，虽然大多数DoS攻击都依赖大量的小请求来淹没Web服务器，但在这种情况下，单个请求可能会消耗一个内核90秒。

Storms说：“其中一些请求每隔几分钟就会排队，网站实际上将被关闭。”

安全研究员朱利安w？Lde和Alexander Klink在12月28日德国举行的混沌通信大会上提出了一种攻击Web应用框架的新方法。他们还在gmane.comp.security的全面披露电子邮件中公布了漏洞的详细信息.列表。

零日漏洞并非ASP.NET独有，受影响的产品列表包括PHP 4和5、Java、Apache Tomcat和Geronimo、Jetty、Oracle Glassfish、Python、Plone、CRuby 1.8、JRuby和Rubinius v8。完全公开名单上的职位。而canness写道，虽然没有狂野的主动攻击，但微软预计“很快”就会发布利用代码。

Storms预测，其他供应商将发布类似的零日公告，并为其他平台提出缓解建议。阿帕奇软件基金会安全团队的Mark Thomas告诉eWEEK，阿帕奇已经为7.0.x和6.0.x更新了Tomcat，并计划将其作为5.5.x发布，其他供应商没有回复查询。

斯托姆说，“每年节假日前后，我们都会进行安全演练，今年也不例外。”

Storms预测微软可能会在本周的某个时候发布一个紧急补丁。Storms表示，测试和部署紧急补丁可能会给大多数企业IT团队带来挑战，因为他们可能是“运行基础架构的人员”。

微软建议ASP.NET网站所有者查看此公告，以“评估拒绝服务的风险”，并实施变通办法和攻击检测机制来保护网站，直到安全更新可用。据福斯特罗姆称，该公司还通过微软主动保护计划与合作伙伴合作，帮助在其他软件产品中建立保护。