Корпорация Майкрософт выпускает сегодня внешнее обновление безопасности для уязвимости безопасности ASP.NET, обнаруженной вчера, 28 декабря 2011 г.
Обновление преодолевает брешь в безопасности, которая может быть использована для запуска атак типа «отказ в обслуживании», хотя Microsoft заявляет, что в настоящее время ей не известно о каких-либо атаках на клиентов ASP.NET с использованием этого эксплойта.
Проблема касается не только ASP.NET; описанный метод будет работать с продуктами, включая PHP 4 и 5, Java, Apache Tomcat и Geronimo, Jetty, Oracle Glassfish, Python, Plone, CRuby 1.8, JRuby и Rubinius v8, в соответствии с подробностями, опубликованными на сайте gmane.comp.security. список рассылки.
Подробности потенциального метода атаки были представлены на конференции Chaos Communication Congress, где исследователи безопасности Джулиан Вельде и Александр Клинк продемонстрировали новый способ атаки на инфраструктуры веб-приложений, использующий структуры данных хеш-таблиц.
Согласно бюллетеню Microsoft по безопасности, атаки с конфликтом хэшей пытаются заполнить хеш-таблицу в серверном приложении большим количеством элементов, ключи которых разрешаются в один и тот же хеш-код. Эти конфликты ключей могут значительно замедлить операции с хеш-таблицей, а при наличии достаточного количества элементов сервер может потратить минуты (или даже часы) на их обработку. Это может помешать веб-серверу обрабатывать запросы от других пользователей и вызвать отказ в обслуживании.
В бюллетене также указывается, что, поскольку эти атаки на веб-фреймворки могут создавать проблемы отказа в обслуживании с относительно небольшим количеством HTTP-запросов, существует высокая вероятность атак с использованием этого подхода.
Стоит отметить, что если на вашем сайте запрещены типы HTTP-контента application / x-www-form-urlencoded или multipart / form-data, он не будет уязвим. Однако Microsoft выпускает внеполосное обновление безопасности в четверг, 29 декабря, примерно в 10:00 по тихоокеанскому времени.
Чтобы быть в курсе новых статей на I Programmer, подпишитесь на RSS-канал, подпишитесь на нас в Google+, Twitter, Linkedin или Facebook или подпишитесь на нашу еженедельную новостную рассылку.