111229 M$定期外更新

M$定期的自動更新都在每個月的第二個週二,被稱為"Patch Tuesday",但是在這之外也會針對特別重要(或嚴重)的零時差安全漏洞發佈定期外的更新,被稱為"Out-of-band patch"

在今天,M$發佈一個定期外的更新,針對的是ASP.NET的安全性漏洞
Advanced Notification for out-of-band release to address Security Advisory 2659883
Microsoft Security Advisory (2659883) Vulnerability in ASP.NET Could Allow Denial of Service

這是ASP.NET的hash table的漏洞,會造成hash collision攻擊(字面上看應該跟密碼破解有關?),好像是網頁中利用"application/x-www-form-urlencoded"和"multipart/form-data"這兩種content-type傳送的POST Method表單,如果在傳送中對資料中作手腳,會造成ASP.NET的程序效能顯著變慢(阻斷攻擊),影響的範圍是所有windows版本(Windows XP~Windows2008)上面所有版本(1.0~4.0)的.NET Framework

其實這個漏洞在多年前就被發現,而且影響不只是M$的產品,包含Apache,PHP,Ruby都受影響,除了更新版本之外,暫時解決的方法是設定限制POST Method的資料量
trackbackTrackback: http://blog.snow-sugar.net/trackback.php?tbID=1023&extra=eccaa0
taggedTags: M$ 更新
Comments: 0 |Trackback: 0 | Read: 1659 | Print | Download
add nookmarks Bookmarks
Share to:Google BookmarksYahoo! My WebWindows LiveDiggDel.icio.usfacebookfacebookredditslashdotfurltechnoratiMyShare樂多網路書籤UDN共享書籤HemiDemi貼到funPLivedoor ClipFC2 BookmarkHatena::Bookmark百度搜藏
referers Link from
  以下連結並未逐一檢查,點選前請自行留意右方評價!
pannya
Write New Comment
Name:(*) Password:
Website: Email:
Validation:(*) Validation Image [Reload] Option:
Content:(*)