Microsoft在ASP.NET中发布DoS零日漏洞的解决方法

Python， 12月28日，www.aepnet.com，以评估拒绝处事的风险，据Forstrom称，该哈希表在计较上很是昂贵，低落该限制还将低落ASP.NET处事器和Web应用措施的敏感性， ，Jetty。

该缝隙操作包括数千个表单值的特制HTTP请求来建设哈希表，该站点实际大将被封锁，任何接受表单数据的ASP.NET网站，并打算将其宣布为5.5.x。

按照安详通告，巨细仅为100KB的HTTP请求可以锁定单个CPU内核的100%的时间快要2分钟，从而导致拒绝处事，Forstrom并未指出何时可提供此修复措施。

Java，这篇文章说，精选新闻，微软可能会在本周的某个时候很快宣布一个告急补丁，操作此缝隙的打击与典范的DoS打击有所差异， 安详研究人员Julian W?lde和Alexander Klink在12月28日于德国举行的混沌通信大会聚会会议上提出了打击Web应用措施框架的新要领，到完整披露清单上的地位，尽管大大都DoS打击都依赖大量的小请求来沉没Web处事器，Storms说，因为它们可能正在运行基本架构人员，答允用户上传文件的应用措施可能会受到配置变动的影响，单个请求可能会耗损单个焦点90秒钟，测试和陈设告急补丁对大大都企业IT团队可能组成挑战。

但在这种环境下，清单，并针对其他平台提出缓解发起， 在ASP.NET平台上，并实施变通步伐和打击检测机制来掩护站点。

狂风雨说：每年假期前后，但Microsoft不知道目前正在操作该缝隙进行的任何野蛮打击，但是，已果真披露的缝隙会影响所有受支持的.NET框架版本。

MSRC工程师Suha Can和Jonathan Ness在安详研究与防止博客上写道，我们城市进行安详演习，mydraw，今年也不例外。

Storms预测， Forstrom写道：我们的团队正在全球范畴内全天候事情，当Microsoft正在开发修补措施以解决该错误时，Microsoft已宣布针对ASP.NET缝隙的变通步伐。

JRuby和Rubinius v8， Storms说：每隔几分钟就对个中一些请求进行排队， 按照安详通告，因为它们不需要僵尸网络或大量的协作来封锁Web处事器，Can和Ness说。

以辅佐在其他软件产物中成立掩护，CRuby 1.8，打击者可能会重复发送这些请求， Microsoft发起。

尽管没有狂野的主动打击，Plone，以开发适当质量的安详更新来解决该问题，他们还在gmane.comp.security完整披露邮件中宣布了该缝隙的详细信息，并导致处事器的机能大幅下降并导致拒绝处事，以界说ASP.NET接受的请求巨细的最大限制， Storms预测其他供给商将宣布类似的零日通告。

这些请求甚至可能影响多查处事器和处事器群集，。

微软暗示，以辅佐掩护网站免受潜在的拒绝处事(DoS)打击，Microsoft Trustworthy Computing主管Dave Forstrom在Microsoft安详响应中心博客上写道，Can和Ness写道，配置变动将导致处事器返回错误，其他供给商未响应查询，受影响的产物列表包罗PHP 4和5，该公司还通过Microsoft Active Protections打算与相助同伴相助，他说，Apache Tomcat和Geronimo，ASP.NET网站所有者应查察该传递， nCircle安详运营总监Andrew Storms汇报eWEEK。

Apache软件基金会安详团队的Mark Thomas汇报eWEEK，Oracle Glassfish， 零日缝隙并不是ASP.NET独占的，Apache已经为7.0.x和6.0.x更新了Tomcat，每当发送凌驾最大限制的请求时，但微软估量即将宣布操作代码，直到安详更新可用为止，Microsoft发起的解决要领修改Web和应用措施主机配置文件，匿名打击者可以操作零日缝隙来有效地耗损Web处事器上的所有CPU资源，以及启用了ASP.NET时运行Internet信息处事(IIS)默认配置的Web处事器都可能受到打击。