問題タブ [ms11-100]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - ASP.NET(MS11-100)のハッシュ衝突の問題はどのように修正されましたか?
Slashdotによって報告されたように、MSは本日ハッシュ衝突攻撃を修正するためにASP.NETに更新を発行しました。(リンクされたTechnetページに「HashTableの衝突によりDoSの脆弱性が発生する可能性があります-CVE-2011-3414」と記載されています。)
問題は、POSTデータが既知のハッシュアルゴリズムを使用するハッシュテーブルに変換されることです。また、攻撃者が多数の衝突を含むリクエストを作成してこれを使用すると、サービス拒否を簡単に引き起こす可能性があります。
そのアップデートで問題がどの程度正確に修正されるかを誰かが知っていますか?
asp.net - ASP.NET MS11-100:投稿されたフォーム値の最大数の制限を変更するにはどうすればよいですか?
Microsoftは最近(2011年12月29日)、.NETFrameworkのいくつかの重大なセキュリティの脆弱性に対処するための更新プログラムをリリースしました。MS11-100によって導入された修正の1つは、ハッシュテーブルの衝突を含む潜在的なDoS攻撃を一時的に軽減します。この修正により、多くのPOSTデータを含むページが破損するようです。私たちの場合、非常に大きなチェックボックスリストがあるページ。なぜそうなるのでしょうか?
一部の非公式の情報源は、MS11-100がポストバックアイテムに500の制限を課していることを示しているようです。これを確認するMicrosoftのソースが見つかりません。ビューステートやその他のフレームワーク機能がこの制限の一部を使い果たしていることを私は知っています。この新しい制限を制御する構成設定はありますか?チェックボックスの使用を切り替えることもできますが、特定の状況ではかなりうまく機能します。また、他の厄介なものから保護するため、パッチを適用したいと思います。
このセキュリティ情報は、単一のHTTP POSTリクエストに対して送信できる変数の数に制限を設けることにより、DOS攻撃ベクトルを修正します。デフォルトの制限は500です。これは、通常のWebアプリケーションには十分ですが、ドイツのセキュリティ研究者が説明しているように、攻撃を無力化するには十分に低い値です。
編集:制限の例を含むソースコード(500ではなく1,000のように見えます)標準のMVCアプリを作成し、メインのインデックスビューに次のコードを追加します。
このコードはパッチの前に機能しました。後で動作しません。エラーは次のとおりです。
[InvalidOperationException:オブジェクトの現在の状態が原因で操作が無効です。]
System.Web.HttpValueCollection.ThrowIfMaxHttpCollectionKeysExceeded()+82 System.Web.HttpValueCollection.FillFromEncodedBytes(Byte [] bytes、Encoding encoding)+111System.Web
。 HttpRequest.FillInFormCollection()+307
asp.net - Microsoft セキュリティ速報 MS11-100 によるサイトの破壊
重複の可能性:
ASP.NET、MS11-100、および POST
Microsoft セキュリティ情報 MS11-100 からの更新プログラムを適用した後、サイトの特定のフォームが機能しなくなりました。例外には、「オブジェクトの現在の状態のため、操作は無効です」と表示されます。また、「[HttpException (0x80004005): URL エンコードされたフォーム データが無効です。]」と表示されます。
asp.net - MS11-100 の MaxHttpCollectionKeys 設定で ASP.NET Web.config の継承が機能しない
最近リリースされた asp.net 脆弱性パッチ ms11-100 でシステムを更新した後、「[HttpException (0x80004005): The URL-encoded form data is not valid.]」という例外で一部のページが失敗し始めていることがわかりました。ここのasp.netフォーラムでカバーされています:
http://forums.asp.net/t/1754512.aspx/1?Microsoft+security+bulletin+MS11+100+breaking+our+site
そしてここでstackoverflowで:
ASP.NET MS11-100:投稿されたフォーム値の最大数の制限を変更するにはどうすればよいですか?
私が試みたのは、そのページを独自のフォルダーに移動することにより、提案された変更を制限し、それによって攻撃領域を特定のページに制限することです。デフォルトの 1000 より大きい値。
ルート フォルダーの web.config でこの設定を指定しないと、この設定が有効にならないことがわかりました。ページの新しいフォルダーの web.config にあるときに、asp.net が設定を無視したように見えました。
これを実現するために他に何かする必要がありますか? それとも、設定の性質上、まったくできないのでしょうか。