giovedì 29 dicembre 2011

Vulnerabilità in ASP.NET può consentire attacco DDos, patch a breve


Il 29 dicembre 2011, alle 10:00 ora del Pacifico Microsoft rilascerà un aggiornamento out-of-band di protezione per risolvere una falla critica di sicurezza (CVE-2011-3414) che si trova in ASP.NET, che colpisce tutte le versioni supportate di .NET Framework, che potrebbe consentire un attacco denial-of-service (DDoS) su server che servono pagine ASP.NET. Questi attacchi che sfruttano le tabelle hash, conosciuti come hash collision attacks, non sono specifici di tecnologie Microsoft, ma altri fornitori software di web service potrebbero risentirne. In un advisory pubblicato Mercoledì , il produttore di software ha detto che era consapevole del fatto che informazioni dettagliate erano state pubblicate per descrire gli attacchi di collisione hash.

Ed ha osservato: "[La vulnerabilità] interessa tutte le versioni di Microsoft NET framework e può condurre ad un attacco tipo denial-of-service non autenticato sui ​​server che servono le pagine ASP.NET. La vulnerabilità è dovuta al modo in cui ASP.NET processa i valori in un modulo post ASP.NET causando una collisione hash. E' possibile che un utente malintenzionato invii un piccolo numero di messaggi appositamente predisposto a un server ASP.NET, causando la degradazione in modo significativa delle prestazioni sufficienti a causare una condizione di negazione del servizio [DDos]". Anche se le informazioni sono già all'esterno e gli hacker potrebbero approfittarne, Microsoft è a conoscenza di attacchi attivi che si basano su questo difetto.



Fino a quando l'aggiornamento non verrà rilasciato, gli utenti dovrebbero sapere che per default IIS non è abilitato per le versioni attualmente supportate dal sistema operativo e i siti che non consentono application / x-www-form-urlencoded o multipart / form-data di contenuto types HTTP non sono suscettibili di un attacco. Fondamentalmente, i siti che servono solo contenuto statico o quelli che respingeono i tipi di contenuti dinamici di cui sopra non sono vulnerabili. Per aggirare il problema, Microsoft ha suggerito agli operatori Web configurare il limite della dimensione massima richiesta che ASP.NET accetta da un cliente, pena la diminuzione della suscettibilità di tali attacchi. Microsoft ha lavorato con i partner nel suo Active Protections Program (MAPP).

L'aggiornamento verrà reso disponibile per tutte le versioni di Windows, incluso Windows XP Service Pack 3, Windows Server 2008 e Windows 7 per sistemi a 64 bit. A tutti gli utenti del sistema operativo Windows si consiglia di installare l'aggiornamento al più presto appena verrà rilasciato per evitare spiacevoli incidenti. Per ora non ci sono ulteriori dettagli sul problema che riguarda Windows 7 64-bit, ma a giudicare da quello che Microsoft ha rivelato sul suo blog tedesco la scorsa settimana, è improbabile che qualcosa verrà rilasciata molto presto. Michael Kranawetter non ha fornito altri dettagli ed ha detto che "le indagini sono ancora in corso, perchè i passi necessari da intraprendere non sono ancora stati definiti". Il gigante del software pubblicherà una patch, una volta completa la sua indagine.


Informazioni su ASP.NET
ASP.NET è una tecnologia Microsoft che lavora con file compilato interpretato dal server e restituito come HTML. ASP.NET è molto produttivo per quanto riguarda lo sviluppo di Web applicazioni. La migliore programmazione enviroment per la maggior parte delle applicazioni web è ASP.NET. Per applicazioni Web, ASP.NET consente l'utilizzo di Visual Studio, che offre molti vantaggi e aiuta il programmatore a creare applicazioni in modo rapido. Lo sviluppo di applicazioni Web, ad esempio con Java, richiede più tempo per la sua maggiore difficoltà, e questo si traduce in minor produttività. Inoltre, le innumerevoli componenti ASP.NET sono già disponibili per l'uso, e questa disponibiltà diminuisce anche il tempo necessario per lo sviluppo di una nuova applicazione.

Nessun commento:

Posta un commento