BUGTRAQ ID: 35985
CVE(CAN) ID: CVE-2009-1536
Microsoft .NET Framework是一个流行的软件开发工具包。
ASP.NET管理请求调度的方式存在拒绝服务漏洞。攻击者可以创建特制的匿名HTTP请求导致受影响的Web服务器变得没有响应,直到重启相关的应用池。
仅可通过IIS 7.0暴露Microsoft .NET Framework中的漏洞代码。对于没有运行IIS 7.0的系统,无法利用这个漏洞。
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 2.0 SP1
临时解决方法:
方法1:在注册表中指定maxConcurrentRequestsPerCPU值。
方法2:在ASPNET.Config文件的ASP.NET配置部分,指定应用池的maxConcurrentRequestsPerCPU值。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS09-036)以及相应补丁:
MS09-036:Vulnerability in ASP.NET in Microsoft Windows Could Allow Denial of Service (970957)
链接:http://www.microsoft.com/technet/security/bulletin/MS09-036.mspx?pf=true