12月29日，周四推出的ASP.NET安全更新

[原文发表地址]  ASP.NET Security Update Shipping Thursday, Dec 29th

[原文发表时间] 2011-12-28 20:59

几分钟前微软发布了安全公告预先通知，这意味着我们正式发布了一个外带的安全更新来处理ASP.NET的安全漏洞.

更新：安全更新(MS11-100)已经推出了，可通过Windows Update，Windows Server Update Service更新，或从Microsoft 下载中心获取。

我们发布的安全更新可解决ASP.NET所有版本中存在的公开披露的拒绝服务问题。在客户使用此可攻击漏洞时，我们目前还没有发现任何对 ASP.NET 的攻击，但我们强烈鼓励客户尽快部署更新。

我们是通过 Windows Update和 Windows Server Update Service来发布的安全更新。您也可以通过Microsoft 下载中心手动下载和安装它。我们将在12 月 29日星期四，大约上午10点，太平洋时间 （美国和加拿大） 发布更新。我们提前宣布它，以确保管理员知道安全更新来了，并准备好在一旦更新发布的时候。

关于安全漏洞更多信息

2011 年 12 月 28 日，安全会议上发表了详细信息，描述了一种新的方法来攻击 web 框架中哈希表的数据结构。针对这种漏洞的攻击是一般被称为"哈希碰撞攻击(Hash collision attacks)"。

哈希碰撞攻击尝试在服务器应用程序内用大量项目填充哈希表，这些项目的键解析相同的哈希代码。这些键的碰撞可以明显降低哈希表中的操作，并有足够的元素可能会导致服务器花几分钟 （或甚至几小时) 处理它们。这可以阻止web 服务器处理其他用户的请求，并导致拒绝服务 （指网站变得没有响应或慢速）。

像这样的攻击并不特定于任何特定的语言或操作系统。出席者在安全会议上讨论了针对几个不同的 web 框架 （包括 ASP.NET）如何使用标准的 HTTP 窗体发送导致它们的。因为这些对 web 框架的攻击可以制造相对较少的 HTTP 请求拒绝服务问题，使用这种方法有很高的攻击可能性。我们强烈鼓励客户能够尽快部署更新。

我们在12 月 29 日星期四发布的安全更新同时也更新了 ASP.NET，那样攻击者不能再执行这些攻击。此安全更新不需要任何代码或应用程序的更改。

了解更多信息

您可以从微软安全咨询 （2659883）（我们已经发布了）了解更多有关此安全漏洞的信息。我们将在Windows Update、 Windows Server Update Service和 Microsoft 下载中心于12月29日周四大约上午10太平洋时间 （美国和加拿大） 发布安全更新。我们还将在12 月 29 下午1点（太平洋标准时间）网络广播此问题。请单击此处进行注册。

如果您对此漏洞有疑问，或应用此更新时遇到任何问题，可以在www.asp.net网站上的安全漏洞论坛发表问题。

您也可以在Twitter @ MSFTSecResponse上查看MSRC 团队所有的最新信息。

希望有所帮助。

Scott