河北
微软已确认最近修复了其 ASP.NET Core 产品中史上最严重的漏洞。
该漏洞被描述为“HTTP 请求走私漏洞”,其编号为 CVE-2025-55315,严重性等级为 9.9/10(严重)。
该漏洞影响 Kestrel ASP.NET Core 网络服务器,允许未经过身份验证的攻击者在原始请求中‘走私’额外的 HTTP 请求。
如何更新
被走私的程序可以帮助攻击者绕过不同的安全控制;这是微软解释的。
微软在安全公告中提到:“成功利用此漏洞的攻击者可以查看敏感信息,例如其他用户的账号信息(机密性),并可能更改目标服务器上的文件内容(完整性),他们可能还会导致服务器崩溃(可用性)。”
根据您运行的版本,有不同的方法可以保护您的系统免受潜在攻击。
如果您运行的是 .NET 8 或更高版本,应从 Microsoft Update 安装 .NET 更新;如果您运行的是 .NET 2.3,则应将 Microsoft.AspNet.Server.Kestrel.Core 的包引用更新为 2.3.6,然后重新编译应用程序并重新部署。运行自包含的单文件应用程序的应安装 .NET 更新,重新编译后再部署。
微软还发布了针对 Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0 和 ASP.NET Core 9.0 的安全更新,以及针对 ASP.NET Core 2.x 应用程序的 Microsoft.AspNetCore.Server.Kestrel.Core 的包。
在 GitHub 平台上,.NET 安全技术项目经理巴里·多兰斯表示,该漏洞的评分“远没有那么高”,但评分是根据该漏洞可能对基于 ASP.NET 构建的应用程序的影响来决定的,所以这实际上取决于每个具体的应用程序:
“我们不知道什么是可能的,这要看你是怎么写你的应用的,”他补充道。“因此,我们以最坏的情况来评估,也就是说,这是一个可能改变范围的安全功能绕过。”
你可能也喜欢
- 微软警告黑客有新型狡猾的手段来传播恶意软件
- 来看看我们推荐的最佳身份验证器应用
- 我们整理了最佳密码管理器推荐
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
