跳至主內容

微軟 ASP .NET Framework 多個漏洞

最後更新 2011年12月30日 18:08 發佈日期: 2011年12月30日 2718 觀看次數

風險: 高度風險

類型: 伺服器 - 互聯網應用伺服器

類型: 互聯網應用伺服器
  1. 雜湊表碰撞導致阻斷服務漏洞
    在 ASP.NET Framework 處理特製的請求時,會造成雜湊碰撞,引致阻斷服務漏洞。成功利用漏洞的攻擊者可透過傳送少量特製的請求到 ASP.NET 伺服器導致其服務效能顯注下降而導致阻斷服務。
  2. .NET表單認證不安全地重新導向漏洞
    在 ASP.NET Framework 處理表單認證時,驗證傳回的 URLs,存在偽冒漏洞。成功利用漏洞的攻擊者可在使用者不知情的情況下,重新導向使用者到攻擊者選擇的網站。攻擊者便可進行釣魚攻擊去獲得使用者非自願透露的資料。此漏洞不允許攻擊者執行程式碼或提升權限,但卻可進一步被利用來獲取更多使用者的個人資料。
  3. 繞過ASP.NET表單認證漏洞
    在 ASP.NET Framework 驗證使用者時,存在權限提升漏洞。沒有權限的攻擊者須要能夠在ASP.NET應用程式註冊,及必須知道目標使用者的現存帳戶名稱,才可利用這漏洞。攻擊者可使用之前註冊的帳戶,透過特製的網頁請求來獲得目標帳戶存取權限,及利用目標帳戶進行任何行動,包括執行任意指令碼。
  4. ASP.NET表單認證票據緩存漏洞
    在 ASP.NET Framework 處理緩存內容時,若同時使用表單認證及滑動式限期,存在權限提升漏洞。成功利用漏洞的攻擊者可在目標使用者權限範圍內進行任何行動,包括執行任意指令碼。在一個電郵攻擊的情況下,攻擊者可透過傳送特製的連結,引透使用者按下連結。雖然攻擊者無法強迫使用者訪問其網站,但可引透使用者進行一些行動,例如按下在電郵或即時通訊內的連結。

影響

  • 阻斷服務
  • 繞過保安限制
  • 仿冒

受影響之系統或技術

  • 微軟 ASP .NET Framework 1.x
  • 微軟 ASP .NET Framework 2.x
  • 微軟 ASP .NET Framework 3.x
  • 微軟 ASP .NET Framework 4.x

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。


漏洞識別碼


資料來源


相關連結