HackerNews 编译,转载请注明出处:
本周早些时候,微软针对一个ASP.NET Core 漏洞发布了补丁。该漏洞被标记为ASP.NET Core 安全漏洞中 “史上最高” 的严重级别。
这个 HTTP 请求走私漏洞(CVE-2025-55315)存在于 Kestrel ASP.NET Core Web 服务器中。已通过身份验证的攻击者可利用该漏洞走私另一个 HTTP 请求,进而劫持其他用户的凭据,或绕过前端安全控制。
微软在周二的安全公告中表示:“成功利用此漏洞的攻击者,可查看其他用户凭据等敏感信息(影响机密性)、修改目标服务器上的文件内容(影响完整性),还可能导致服务器崩溃(影响可用性)。”
为确保ASP.NET Core 应用程序免受潜在攻击,微软建议开发人员和用户采取以下措施:
- 若运行的是.NET 8 或更高版本,需从 Microsoft Update 安装.NET 更新,之后重启应用程序或计算机。
- 若运行的是.NET 2.3,需将 Microsoft.AspNet.Server.Kestrel.Core 的包引用更新至 2.3.6 版本,之后重新编译并部署应用程序。
- 若运行的是独立式 / 单文件应用程序,需安装.NET 更新,重新编译并部署应用程序。
为修复该漏洞,微软已发布多款安全更新,涵盖 Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0,以及适用于ASP.NET Core 2.x 应用的 Microsoft.AspNetCore.Server.Kestrel.Core 包。
微软.NET 安全技术项目经理巴里・多兰斯(Barry Dorrans)解释称,CVE-2025-55315 漏洞的攻击影响取决于目标ASP.NET应用程序的具体情况。成功利用该漏洞可能让攻击者实现以下操作:
- 以其他用户身份登录(实现权限提升);
- 发起内部请求(用于服务器端请求伪造攻击);
- 绕过跨站请求伪造(CSRF)检查;
- 实施注入攻击。
多兰斯表示:“但我们无法确定具体会发生什么,因为这取决于应用程序的编写方式。因此,我们在评分时会考虑最糟糕的情况 —— 即可能导致安全功能绕过、改变攻击范围的情况。”
他补充道:“这种极端情况可能发生吗?可能性不大,除非你的应用程序代码存在异常,且跳过了本应在每个请求中执行的大量检查。但无论如何,建议你立即进行更新。”
在本月的 “补丁星期二”(Patch Tuesday)中,微软共发布 172 个漏洞的安全更新,其中包括 8 个 “严重”(Critical)级别漏洞,以及 6 个零日漏洞(其中 3 个已被用于实际攻击)。
本周,微软还发布了累积更新 KB5066791。
该更新包含 Windows 10 的最终安全补丁,因为该操作系统已正式进入支持生命周期尾声。
消息来源: bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
