Microsoft corrige une faille zero-day sur ASP.NET
lun, 02/01/2012 - 17:25
La faille a été annoncée dans un billet de blog de Scott Guthrie lui-même, publié le 29 décembre dernier. La faille a aussi immédiatement été décrite dans un bulletin de sécurité publié par Microsoft.
Cette faille permettait de faire tomber des serveurs ASP.NET au moyen d'une hash collision attack, ou si l'on préfère, une attaque par collision de table de hachage. Pour exploiter la faille il suffisait d'envoyer des requêtes POST malicieuses dont des données différentes aboutissaient à la génération d'une même clé de hachage, d'où le terme de collision.
Une situation qui aboutissait à la monopolisation du temps processeur du serveur attaqué qui se trouvait alors en situation de déni de service.
La faille a été corrigé dans l'urgence par Microsoft, et le correctif, pour les runtimes NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5 Service Pack 1, .NET Framework 3.5.1, et .NET Framework 4
Le patch est accessible via Windows Update.