Vulnerabilidad en servidores ASP.NET permite ataques DoS
Una vulnerabilidad que afecta a todas las versiones de Microsoft .NET Framework permite realizar ataques sencillos a servidores que tengas páginas ASP.NET
En el Security Advisory 2659883 publicado por Microsoft se detalla el problema y la forma de mitigarlo. También se aclara que los sitios que provean solo páginas estáticas o tengan deshabilitadas las de contenido dinámico, no son vulnerables.
El problema está en la forma que ASP.NET procesa los valores de los form ASP.NET en el POST que causa una colisión de hash. Es posible que se envíe a uns servidor ASP.NET un número dado de posts preparados especialmente para degradar de forma tan significativa al mismo que provoque una condición de denegación de servicio.
El director del centro de Microsoft Trustworthy Computing, Dave Forstrom, dice que no tienen conocimiento de ningún ataque hasta el momento que se aproveche de esta vulnerabilidad, pero recomienda tomar las medidas para mitigar la misma contra este método de ataque.
Boletin: http://technet.microsoft.com/en-us/security/advisory/2659883
MSRC: http://blogs.technet.com/b/msrc/archive/2011/12/28/microsoft-releases-security-advisory-2659883-offers-workaround-for-industry-wide-issue.aspx
Raúl de la Redacción de Segu-Info
En el Security Advisory 2659883 publicado por Microsoft se detalla el problema y la forma de mitigarlo. También se aclara que los sitios que provean solo páginas estáticas o tengan deshabilitadas las de contenido dinámico, no son vulnerables.
El problema está en la forma que ASP.NET procesa los valores de los form ASP.NET en el POST que causa una colisión de hash. Es posible que se envíe a uns servidor ASP.NET un número dado de posts preparados especialmente para degradar de forma tan significativa al mismo que provoque una condición de denegación de servicio.
El director del centro de Microsoft Trustworthy Computing, Dave Forstrom, dice que no tienen conocimiento de ningún ataque hasta el momento que se aproveche de esta vulnerabilidad, pero recomienda tomar las medidas para mitigar la misma contra este método de ataque.
Boletin: http://technet.microsoft.com/en-us/security/advisory/2659883
MSRC: http://blogs.technet.com/b/msrc/archive/2011/12/28/microsoft-releases-security-advisory-2659883-offers-workaround-for-industry-wide-issue.aspx
Raúl de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!