存在问题的是.NET Framework 1.0中包含的Web应用软件的执行组件“ASP.NET”(Active Server Pages .NET)。该组件中存在可以引起缓冲溢出的安全漏洞。如果运行ASP.NET应用软件,则存着持有恶意的第三者可以执行非法程序的危险。
ASP.NET中提供了几个管理Web应用软件的会议状态的方法。其中之一的被称为“StateServer模式”的会议状态管理模式下,执行Cookie相关的处理模块中发现了未经检验的缓冲器。如果该缓冲器受到攻击,可能会使运行中的ASP.NET应用软件重新启动,届时正在使用该应用软件的所有的用户会议信息都将丢失。
由于.NET Framework刚刚于2002年3月发表,成为攻击对象的、支持ASP.NET的Web应用软件还较少,预计实际产生的不良影响可能还比较小。但是,安装了.NET Framework的计算机应该尽早安装修正程序。在安装修正程序时,还请注意使用与.NET Framework同时发表的.NET Service Pack 1。
另外,此安全漏洞问题只会出现在Web服务器的IIS(Inte.net Information Services)5.0以上的版本中运行ASP.NET应用软件时。因此,没有安装Windows 2000 Professional/Server、Windows XP Professional的计算机无需对此采取对策。(文章转载自日经BP社)
文章来源于领测软件测试网 https://www.ltesting.net/