Dalam dunia pembangunan web, satu kelemahan keselamatan yang baru ditemui dalam ASP.NET Core telah mengegarkan komuniti sambil secara serentak mencetuskan debat hangat mengenai cara kita mengukur ancaman keselamatan. Ditetapkan sebagai CVE-2025-55315, kelemahan penyeludupan permintaan HTTP ini membawa skor CVSS yang membimbangkan iaitu 9.9 daripada 10—menempatkannya dalam kategori kritikal. Pendedahan ini menyebabkan para pemaju bergegas menampal sistem mereka manakala profesional keselamatan mempersoalkan sama ada skor tinggi sedemikian untuk kelemahan perpustakaan memberikan panduan yang bermakna atau sekadar menimbulkan panik yang tidak perlu.
Inti Teknikal Kelemahan
Pada terasnya, CVE-2025-55315 mewakili kelemahan penyeludupan permintaan HTTP yang menjejaskan cara ASP.NET Core mentafsir pengekodan berjujukan dalam permintaan HTTP. Ketidakselarasan dalam penghuraian ini boleh membenarkan penyerang memintas kawalan keselamatan apabila keadaan tertentu selari. Kelemahan ini menjadi amat berbahaya dalam senario di mana pelayan proksi mengendalikan pengesahan sebelum menghantar permintaan kepada Kestrel, pelayan web ASP.NET Core. Apabila proksi dan Kestrel mentafsir sempadan jujukan secara berbeza, pengguna yang disahkan mungkin menyeludup permintaan berniat jahat yang diproses dengan keistimewaan yang lebih tinggi daripada yang diingini. Pembaikan melibatkan kemas kini cara ASP.NET Core mengendalikan sambungan jujukan, dengan ujian unit RejectsInvalidChunkExtensions khusus menangani kebimbangan penghuraian tersebut.
Nota: Penyeludupan permintaan HTTP berlaku apabila komponen berbeza dalam rantaian pemprosesan permintaan mentafsir mesej HTTP secara berbeza, berpotensi membenarkan penyerang memintas kawalan keselamatan.
Ini adalah cara yang bodoh untuk menilai pepijat. Pepijat itu sendiri tidak mendayakan mana-mana daripadanya. Aplikasi yang menggunakan perpustakaan mungkin mempunyai kelemahan tersebut.
Kontroversi Penilaian CVSS yang Hebat
Komuniti keselamatan telah meletus dengan perdebatan mengenai keputusan Microsoft untuk memberikan skor CVSS 9.9 kepada kelemahan perpustakaan ini. Pengkritik berhujah bahawa CVSS direka untuk sistem lengkap, bukan komponen individu, dan menilai perpustakaan dengan cara ini mewujudkan keutamaan yang mengelirukan. Kebimbangannya ialah pendekatan penilaian ini secara teori boleh melabelkan setiap ralat logik dalam mana-mana perpustakaan sebagai kritikal jika seseorang membayangkan senario penyebaran kes terburuk. Pasukan keselamatan kini menghadapi tekanan daripada pengurusan untuk menangani kelemahan kritikal ini dengan segera, walaupun dalam penyebaran di mana risiko sebenar mungkin jauh lebih rendah disebabkan lapisan keselamatan sedia ada dan pilihan seni bina.
Realiti Penyebaran dan Strategi Pengecapan
Bagi organisasi yang menjalankan aplikasi ASP.NET Core yang terjejas, proses pengecapan mendedahkan perbezaan penting dalam model penyebaran. Aplikasi yang disebarkan sebagai bergantung rangka kerja hanya perlu mengemas kini runtime .NET mereka dan mulakan semula—proses yang pasukan DevOps boleh uruskan dengan pantas tanpa membina atau menyebarkan semula keseluruhan aplikasi. Walau bagaimanapun, aplikasi yang menggunakan penyebaran berdikari memerlukan pembinaan dan penyebaran semula yang lengkap. Perbezaan ini penting bagi organisasi yang menimbang tindak balas mereka terhadap kelemahan ini, terutamanya mereka yang menggunakan penyebaran bekas di mana strategi kemas kini mungkin berbeza daripada penyebaran pelayan tradisional.
Model Penggunaan dan Keperluan Patching
- Penggunaan bergantung kepada framework: Kemas kini runtime dan mulakan semula aplikasi
- Penggunaan berdikari: Bina semula dan laksanakan semula keseluruhan aplikasi
- Penggunaan berasaskan kontena: Kemas kini imej asas dan laksanakan semula kontena
- Pendedahan langsung Kestrel meningkatkan risiko berbanding penggunaan yang dilindungi proksi
Kekeliruan Penamaan .NET Merumitkan Tindak Balas
Pendedahan kelemahan ini secara tidak sengaja telah mengetengahkan kekeliruan berterusan mengenai konvensyen penamaan .NET Microsoft. Walaupun kelemahan ini khusus menjejaskan ASP.NET Core, perbezaan antara .NET Core, .NET Framework, dan .NET moden (tanpa akhiran Core) telah menyebabkan kekeliruan dalam menentukan sistem yang terjejas. Apa yang jelas ialah versi ASP.NET Core 2.3 hingga 9.0 terjejas, dengan tampalan tersedia dalam versi 8.0.21 dan 9.0.10 yang dikeluarkan pada 14 Oktober 2025. Kekeliruan penamaan ini menggariskan cabaran yang dihadapi perusahaan dalam mengekalkan inventori yang jelas bagi aset perisian mereka untuk pengurusan kelemahan.
Versi Terjejas dan Tampung
- ASP.NET Core 2.3 hingga 9.0
- Diperbaiki dalam versi 8.0.21 dan 9.0.10 (dikeluarkan 14 Oktober 2025)
- Skor CVSS: 9.9 KRITIKAL
- Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
- CWE: CWE-444 (Tafsiran Tidak Konsisten terhadap Permintaan HTTP)
Kesan Industri dan Corak Tindak Balas
Pendedahan ini telah mencetuskan corak biasa di seluruh industri—soal selidik keselamatan berterbangan antara vendor dan pelanggan, CISO menuntut tindakan segera, dan pasukan pembangunan menilai pendedahan sebenar mereka. Banyak organisasi memilih untuk menampal walaupun dengan penarafan 'kurang berkemungkinan untuk dieksploitasi' oleh Microsoft, menyedari bahawa skor CVSS yang tinggi sahaja akan menarik perhatian daripada kedua-dua pasukan keselamatan dan penyerang yang berpotensi. Realitinya ialah walaupun kelemahan ini serius, kebolehgunaannya bergantung terutamanya pada konfigurasi penyebaran tertentu, terutamanya sama ada Kestrel didedahkan terus kepada internet atau duduk di belakang proksi yang mungkin memperkenalkan percanggahan penghuraian yang diperlukan untuk eksploitasi.
Kemunculan CVE-2025-55315 berfungsi sebagai peringatan bahawa walaupun rangka kerja web yang matang mengandungi kelemahan penghuraian halus yang boleh mempunyai implikasi keselamatan yang serius. Lebih penting lagi, ia mengetengahkan ketegangan yang semakin meningkat antara sistem penilaian kelemahan dan aplikasi praktikal mereka kepada komponen perpustakaan. Seperti yang diperkatakan oleh seorang profesional keselamatan, situasi ini mewakili keseluruhan kompleks industri kelemahan dalam mikrokosmos—di mana risiko teori bertemu realiti penyebaran praktikal, dan sistem penilaian yang direka untuk sistem lengkap bergelut untuk mewakili kelemahan peringkat komponen dengan tepat. Perbualan mengenai kelemahan ini kemungkinan akan berterusan lama selepas tampalan digunakan, mempengaruhi cara kita menilai dan mengutamakan kelemahan perpustakaan pada masa hadapan.
Rujukan: Butiran CVE-2025-55315