ASP.NET安全更新发布:应对哈希碰撞拒绝服务漏洞

微软发布MS11-100安全更新,修复ASP.NET平台中的哈希碰撞拒绝服务漏洞。文章详细解析漏洞评级原因、合作伙伴签名进展,并提供高效的Snort检测规则。更新还包含三个额外漏洞修复,确保Web应用安全。

ASP.NET安全更新发布!

今天,我们发布了MS11-100安全更新,修复了一个新披露的拒绝服务漏洞,该漏洞影响多个供应商的Web应用平台,包括微软的ASP.NET。昨天,我们发布了一篇SRD博客,描述了该漏洞以及检测和缓解方法。通过本篇博客,我们希望向您更新以下主题:

  • 为什么该公告针对拒绝服务漏洞评级为“严重”?
  • 保护合作伙伴的签名进展
  • 更新的Snort规则
  • 感谢ASP.NET团队的假日英勇工作

为什么该公告针对拒绝服务漏洞评级为“严重”?

昨晚,我们发布了一份高级通知,提醒客户计划于今天发布的新带外安全更新。通知将该更新列为解决严重权限提升漏洞,导致一些客户提出疑问,因为他们预期针对拒绝服务漏洞的公告评级应为“重要”。

在获悉此漏洞之前,我们计划发布一个.NET安全更新,修复三个漏洞,其中一个为严重权限提升漏洞。当几周前收到此漏洞通知时,ASP.NET团队将修复程序纳入已在开发和测试的更新中。因此,今天的公告解决了四个漏洞,其中之一是昨天介绍的ASP.NET拒绝服务漏洞。您可以在安全公告中了解更多关于其他漏洞的信息,并邀请您参加今天太平洋标准时间下午1:00(12月29日)的网络广播,我们将描述漏洞并现场回答您的问题。您可以在此处注册网络广播。

保护合作伙伴的签名进展

我们一直在与MAPP合作伙伴合作,回答问题并提供额外指导。我们看到签名方面的早期进展,其中之一是我们自己的MMPC团队为Forefront威胁管理网关(TMG)发布了签名。MMPC签名页面位于http://www.microsoft.com/security/portal/Threat/Encyclopedia/NIS.aspx?threat=Vulnerability-Win-ASPNET-POST-DoS-CVE-2011-3414。我们还从合作伙伴那里听到了他们取得的进展,并期待本周看到更多签名。看到这种信息共享机制运作令人兴奋!

正如我们之前提到的,多个供应商的Web应用服务器受到同一漏洞的影响。这类行业范围问题的“好处”是,我们发送给MAPP合作伙伴的检测逻辑不仅保护Microsoft问题,还保护针对任何受影响平台的攻击。

更新的Snort规则

Sourcefire在开发其IDS/IPS签名时,慷慨地与我们分享了他们的Snort规则,并允许我们既用于保护Microsoft的属性,也与客户共享。虽然我们昨天在博客中提供的Snort规则在检测问题方面有效,但Sourcefire的规则更高效。昨天的第一个签名运行非常快,但第二个——没有静态内容匹配——会进入通过IDS的每个TCP数据包。虽然由于flowbit在大多数情况下会快速退出,但由此产生的开销会累积,如果PCRE遇到发送20多个参数的表单帖子,PCRE会迅速消耗CPU。感谢Sourcefire团队的帮助!

为此,以下是两个更新的Snort规则:

1

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:“DOS generic web server hashing collision attack”; flow:established,to_server; content:“Content-Type|3A| application|2F|x-www-form-urlencoded”; nocase; http_header; pcre:"/([^=]+=[^&]*&){500}/OP"; reference:cve,2011-3414; reference:url,events.ccc.de/congress/2011/Fahrplan/events/4680.en.html; reference:url,technet.microsoft.com/en-us/security/advisory/2659883; classtype:attempted-dos; sid:20823; rev:1;)

1

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:“DOS generic web server hashing collision attack”; flow:established,to_server; content:“Content-Type|3A| multipart/form-data”; nocase; http_header; pcre:"/(\r\nContent-Disposition\x3a\s+form-data\x3b[^\r\n]+\r\n\r\n.+?){500}/OPsmi"; reference:cve,2011-3414; reference:url,events.ccc.de/congress/2011/Fahrplan/events/4680.en.html; reference:url,technet.microsoft.com/en-us/security/advisory/2659883; classtype:attempted-dos; sid:20824; rev:1;)

第一个规则在单个规则中覆盖了x-www-form-urlencoded用例,而不是使用flowbits,因为流重组器和http_inspect会将整个请求组合在一起,并允许您将其视为单个逻辑数据包。这消除了对没有内容匹配的规则的担忧,并意味着它应该相当快。此外,这将触发警报所需的参数数量更改为500,因为a)在野外应该几乎没有误报,b)PCRE需要计数的参数越少,规则运行越快。第二个规则覆盖了multipart/form-data用例。

额外致谢

ASP.NET团队在过去几周连续工作,使这个短周期发布成为可能——构建、打包和测试此安全更新,以便在如此短的时间内发布包,以便我们尽快保护客户。

昨天的SRD博客提到了几位团队成员,但遗漏了其他几位。向未提及的团队成员道歉,并冒着忘记其他人的风险,以下是使这个压缩时间表成为可能的关键ASP.NET工程师:Anand Paranjape、Pranav Rastogi、Jim Wang、Clay Compton、Matt Fei、Hong Li、Carl Dacosta、Amit Apple、Drago Draganov、Konst Khurin、Levi Broderick、Miguel Lacouture-Amaya、Jason Pang、Jim Carley、Jon Cole、Mike Harder、Zhenlan Wang、Dmitry Robsman、Jeffrey Cooperstein、Nazim Lala、Qing Ye、Reid Borsuk、Jamshed Damkewala、Christy Henriksson、Jose Reyes、William Mitchell、Darla Hershberger、Sophy Wang和Ashutosh Kumar。感谢你们所有人和幕后工作者在如此短的时间内完成这个包!

12月29日更新:使用Sourcefire团队提供的更高效pcre更新了Snort规则。之前是“/([\w\x25]+=[\w\x25]&){500}/OPsmi”。现在是“/([^=]+=[^&]&){500}/OP”。应该快约10倍。感谢Microsoft网络安全分析与监控团队的Caleb Jaren测试它。

  • Jonathan Ness, MSRC Engineering
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次