当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Microsoft Windows Server 2012 IIS OData 协议 “replace( )”函数嵌套拒

     发表日期:2013-09-06 10:50:04

概述:

.NET Framework是微软开发的软件框架,用来实现XML,Web Services,SOA和敏捷性的技术。

WCF的"Replace()"函数在处理开放数据(OData) 时存在漏洞,可能引发拒绝服务攻击。

 

CVE-ID:2013-0005

 

详细描述:

Microsoft .NET Framework 3.5, 3.5 SP1, 3.5.1, 4以及安装在Microsoft Windows Server 2012 上的管理OData IIS 扩展存在拒绝服务漏洞。如果未经身份验证的攻击者向受影响的网站发送特制的HTTP 请求,则可能导致系统资源被大量消耗甚至重启从而无法正常为用户提供服务。

 

解决办法:

  1. 关闭WCF 替换功能来解决此漏洞。
  2. 安装软件更新以修复漏洞。

 

参考信息:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0005

http://technet.microsoft.com/zh-cn/security/bulletin/ms13-007