image

Microsoft waarschuwt voor lek in ASP.NET

woensdag 28 december 2011, 14:23 door Redactie, 5 reacties

Microsoft heeft een waarschuwing afgegeven voor een beveiligingslek in het Microsoft .NET Framework, waardoor aanvallers webservers kunnen platleggen. De softwaregigant reageert op de publicatie van een nieuwe methode om hash tabellen aan te vallen. De "hash collision attack" is volgens Microsoft niet alleen een probleem van de softwaregigant, maar zou ook andere leveranciers raken. Via de nu beschreven methode is het mogelijk om een denial of service-aanval uit te voeren op servers die ASP.NET pagina's weergeven.

Aanvallen
De kwetsbaarheid wordt veroorzaakt door de manier waarop ASP.NET bepaalde waarden verwerkt, waardoor een hash collision ontstaat. Een aanvaller kan een klein aantal speciaal geprepareerde post pakketten naar een ASP.NET server sturen, waardoor er een Denial of Service ontstaat.

"Dit lek laat een anonieme aanvaller de CPU van één webserver, en zelfs een cluster van webservers, verbruiken. Een 100kb HTTP request kan, met name voor ASP.NET, 100% van één CPU core voor tussen de 90 en 110 seconden belasten. Een aanvaller kan deze requests herhalen, dat zelfs voor multi-core servers of een cluster van servers een denial of service situatie veroorzaakt", zegt Jonathan Ness van MSRC Engineering, in deze gedetailleerde uitleg.

Oplossing
De informatie om deze aanvallen uit te voeren is inmiddels openbaar, maar Microsoft is nog niet met actieve aanvallen bekend. In afwachting op een mogelijke patch, geeft de softwaregigant systeembeheerders deze 'workaround'. De oplossing kan invloed op de ASP.NET implementatie hebben en Microsoft adviseert dan ook om eerst de impact te onderzoeken.

Reacties (5)
29-12-2011, 05:14 door Anoniem
Zie ook http://www.ocert.org/advisories/ocert-2011-003.html ; dit is een kwetsbaarheid (geen lek) in een hoop systemen (oa PHP).
29-12-2011, 08:48 door Anoniem
Dit geld dus niet alleen voor asp.net

http://seclists.org/fulldisclosure/2011/Dec/477

Affected Products: PHP 4 and 5
Java
Apache Tomcat
Apache Geronimo
Jetty
Oracle Glassfish
ASP.NET
Python
Plone
CRuby 1.8, JRuby, Rubinius
29-12-2011, 09:14 door spatieman
ergens volgend jaar dus........
29-12-2011, 10:54 door Anoniem
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_3/UPGRADING?r1=321040&r2=321039&pathrev=321040

En maar zeuren dat Suhosin onzin is... maar ondertussen heeft deze wel deze uitbreiding.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.