Subscribe
Previous
Back
Next
111229 M$定期外更新
Author: 小光 Date: 2011/12/29 17:50
M$定期的自動更新都在每個月的第二個週二,被稱為"Patch Tuesday",但是在這之外也會針對特別重要(或嚴重)的零時差安全漏洞發佈定期外的更新,被稱為"Out-of-band patch"
在今天,M$發佈一個定期外的更新,針對的是ASP.NET的安全性漏洞
Advanced Notification for out-of-band release to address Security Advisory 2659883
Microsoft Security Advisory (2659883) Vulnerability in ASP.NET Could Allow Denial of Service
這是ASP.NET的hash table的漏洞,會造成hash collision攻擊(字面上看應該跟密碼破解有關?),好像是網頁中利用"application/x-www-form-urlencoded"和"multipart/form-data"這兩種content-type傳送的POST Method表單,如果在傳送中對資料中作手腳,會造成ASP.NET的程序效能顯著變慢(阻斷攻擊),影響的範圍是所有windows版本(Windows XP~Windows2008)上面所有版本(1.0~4.0)的.NET Framework
其實這個漏洞在多年前就被發現,而且影響不只是M$的產品,包含Apache,PHP,Ruby都受影響,除了更新版本之外,暫時解決的方法是設定限制POST Method的資料量
在今天,M$發佈一個定期外的更新,針對的是ASP.NET的安全性漏洞
Advanced Notification for out-of-band release to address Security Advisory 2659883
Microsoft Security Advisory (2659883) Vulnerability in ASP.NET Could Allow Denial of Service
這是ASP.NET的hash table的漏洞,會造成hash collision攻擊(字面上看應該跟密碼破解有關?),好像是網頁中利用"application/x-www-form-urlencoded"和"multipart/form-data"這兩種content-type傳送的POST Method表單,如果在傳送中對資料中作手腳,會造成ASP.NET的程序效能顯著變慢(阻斷攻擊),影響的範圍是所有windows版本(Windows XP~Windows2008)上面所有版本(1.0~4.0)的.NET Framework
其實這個漏洞在多年前就被發現,而且影響不只是M$的產品,包含Apache,PHP,Ruby都受影響,除了更新版本之外,暫時解決的方法是設定限制POST Method的資料量
Trackback:
Bookmarks
| Share to: |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  | |  |  |  |
On this day...
Entries with Same Tags
Link from
以下連結並未逐一檢查,點選前請自行留意右方評價!
Write New Comment
Subscribe recent comment
