12月30日に公開されたマイクロソフト セキュリティ アドバイザリ (2659883) 「ASP.NET の脆弱性により、サービス拒否が起こる」 の件ですが定例外としてMS11-100のセキュリティアップデートが公開されました。

2659883の脆弱性に加えて合計4件の脆弱性も解決されてるようです。

• ハッシュテーブルの衝突がサービス拒否を引き起こす可能性のある脆弱性 CVE-2011-3414
• .NET フォームの認証の安全ではないリダイレクトの脆弱性 CVE-2011-3415
• ASP.NETフォームの認証バイパスの脆弱性 CVE-2011-3416
• ASP.NET フォームの認証のチケットをキャッシュする脆弱性 CVE-2011-3417

対象は.NET Framework 1.1 / 2.0 / 3.5 / 3.5.1 / 4 なのでかなり広範囲ですね。注意しましょう。

参照 → セキュリティホールmemo

さて Windows Azureではどうすればいいのかというと、サービス設定ファイルでOSのバージョン指定を*指定つまり自動アップグレードを選択している場合はどこかのタイミングで（たぶんすでに実施されちゃってると思われますが）MS11-100が適用されたバージョンになります。

• Guest OS 1.x 系 → WA-GUEST-OS-1.16_201109-03
• Guest OS 2.x 系 → WA-GUEST-OS-2.8_201109-03

※リビジョン（？）が03になっています
※2012/01/02 1.16が1.8になってたので修正（指摘ありがとうございます）

手動の場合はすぐにアップデートしましょうね。

参考 → Windows Azureのセキュリティ情報 MS11-100 への対応 ( S/N RATIO [BY SATO NAOKI] )

VMロールの場合は、OSのイメージ管理は利用者の自己責任なので、パッチを適用した差分か元イメージを再アップロードするなどで対応してください。

ちなみに、セキュリティホールmemoのEffective DoS attacks against Web Application Plattforms ? にあるようにPerlを除く代表的なWebプログラミング言語、フレームワークで発生するそうです。

なので、Windows Azure上でPHPを使ってる場合は上記パッチに加えて、Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 （徳丸浩の日記）を参考にまずはPHP.iniを修正したりするのがよいかと思います。

※mod_security使えないので。