针对ASP.NET最近爆出的高危漏洞, 微软.NET集团高级总裁Scott9月21日在其博客上发布了最新补充说明. 概括来讲此次发现的安全漏洞源自ASP.NET对加密组件的底层实现, 所以它将影响所有基于ASP.NET的应用程序, 包括 Web Form 应用程序以及所有使用ASP.NET MVC 框架的应用程序. 受此影响, 微软其他相关产品团队也已开始研发解决方案, 包括 SharePoint, Exchange Outlook Web App 等等. 来自微软安全中心的检测显示目前网络上已出现针对此漏洞展开的攻击行为, 并预计相关活动将会在近日大幅上升. 请所有开发及维护人员及时采取临时措施加以防范.
以下是有关此次安全漏洞的技术信息:
1. Scott9月21日 发布的FAQ: http://weblogs.asp.net/scottgu/archive/2010/09/20/frequently-asked-questions-about-the-asp-net-security-vulnerability.aspx
2. 微软安全响应中心9月21日最新说明:
http://blogs.technet.com/b/srd/
3. SharePoint 产品的修补方案:
http://blogs.msdn.com/b/sharepoint/archive/2010/09/21/security-advisory-2416728-vulnerability-in-asp-net-and-sharepoint.aspx
4. 漏洞演示:
http://threatpost.com/en_us/blogs/demo-aspnet-padding-oracle-attack-091710
5. 示例程序下载(仅用于自查)
http://netifera.com/research/