Ajouter un commentaire

Microsoft corrige une faille zero-day sur ASP.NET

Par:
fredericmazue

lun, 02/01/2012 - 17:25

La faille a été annoncée dans un billet de blog de Scott Guthrie lui-même, publié le 29 décembre dernier. La faille a aussi immédiatement été décrite dans un bulletin de sécurité publié par Microsoft.

Cette faille permettait de faire tomber des serveurs ASP.NET au moyen  d'une hash collision attack, ou si l'on préfère, une attaque par collision de table de hachage. Pour exploiter la faille il suffisait d'envoyer des requêtes POST malicieuses dont des données différentes aboutissaient à la génération d'une même clé de hachage, d'où le terme de collision.

Une situation qui aboutissait à la monopolisation du temps processeur du serveur attaqué qui se trouvait alors en situation de déni de service.

La faille a été corrigé dans l'urgence par Microsoft, et le correctif, pour les runtimes NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 3.5.1, et .NET Framework 4

 Le patch est accessible via Windows Update.

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 H  H  FFFF  DDD   TTTTTT  Y   Y 
H H F D D TT Y Y
HHHH FFF D D TT Y
H H F D D TT Y
H H F DDD TT Y