微軟表示ASP.NET高危漏洞將波及MVC以及SharePoint

針對ASP.NET最近爆出的高危漏洞, 微軟.NET集團進階總裁Scott9月21日在其部落格上發布了最新補充說明. 概括來講此次發現的安全性漏洞源自ASP.NET對加密組件的底層實現, 所以它將影響所有基於ASP.NET的應用程式, 包括 Web Form 應用程式以及所有使用ASP.NET MVC 架構的應用程式. 受此影響, 微軟其他相關產品團隊也已開始研發解決方案, 包括 SharePoint, Exchange Outlook Web App 等等. 來自微軟資訊安全中心的檢測顯示目前網路上已出現針對此漏洞展開的攻擊行為, 並預計相關活動將會在近日大幅上升. 請所有開發及維護人員及時採取臨時措施加以防範.

以下是有關此次安全性漏洞的技術資訊:

1. Scott9月21日 發布的FAQ: http://weblogs.asp.net/scottgu/archive/2010/09/20/frequently-asked-questions-about-the-asp-net-security-vulnerability.aspx

2. 微軟安全響應中心9月21日最新說明:
    http://blogs.technet.com/b/srd/

3. SharePoint 產品的修補方案:
    http://blogs.msdn.com/b/sharepoint/archive/2010/09/21/security-advisory-2416728-vulnerability-in-asp-net-and-sharepoint.aspx

4. 漏洞示範: 
    http://threatpost.com/en_us/blogs/demo-aspnet-padding-oracle-attack-091710

5. 樣本程式下載(僅用於自查)
    http://netifera.com/research/