10月17日,科技媒体bleepingcomputer报道,微软已于近日修复了一个被追踪为CVE-2025-55315的高危漏洞。该漏洞被微软官方标记为“ASP.NET Core史上最严重的漏洞”,其严重性引发了开发社区的广泛关注。
漏洞核心信息
- 漏洞类型:HTTP请求走私
- 存在位置:ASP.NET Core 的 Kestrel Web 服务器
- 攻击前提:攻击者需已通过身份验证
- 潜在危害:劫持其他用户凭据、绕过前端安全控制,甚至完全掌控服务器。
深入解析:“请求走私”如何引发巨大风险?
“HTTP请求走私”是一种高级攻击技术。攻击者通过精心构造一个模糊的、特殊的HTTP请求,利用服务器在处理请求时可能出现的解析差异,将恶意请求“夹带”在正常请求中,从而绕过防火墙等前端安全控制,直接攻击后端服务器。
根据微软发布的安全公告,成功利用此漏洞的攻击者可以造成三重破坏:
- 破坏机密性:窃取其他用户的登录凭据等敏感信息。
- 破坏完整性:篡改服务器上的文件内容。
- 破坏可用性:直接导致服务器崩溃。
.NET安全技术项目经理Barry Dorrans进一步解释,该漏洞的实际影响取决于目标应用程序的具体编码方式。在最坏的情况下,如果应用程序本身存在可跳过请求检查的逻辑缺陷,攻击者将能绕过核心安全功能,危害极大。尽管Barry认为发生最坏情况的可能性不大,但微软仍基于此最坏场景评估了其危险等级。
除了最严重的后果外,该漏洞还可能被用于:
- 权限提升(冒用其他用户身份)
- 服务器端请求伪造
- 绕过跨站请求伪造检查
- 执行各类注入攻击
立即行动:微软官方修复指南
为确保您的ASP.NET Core应用程序免受潜在攻击,微软强烈建议开发者与用户立即采取以下修复措施:
| 运行环境 | 修复措施 |
|---|---|
| .NET 8 或更高版本 | 立即安装微软官方发布的最新安全更新,并重启应用或服务器。 |
| .NET Core 2.3 | 将 Microsoft.AspNet.Server.Kestrel.Core 包更新至 2.3.6 版本,并重新编译和部署应用程序。 |
| 自包含或单文件应用程序 | 在安装.NET更新后,同样需要重新编译和部署整个应用程序。 |
核心建议:仅仅安装更新包可能不足以消除风险,重新编译并部署应用是确保漏洞被彻底修复的关键步骤。
