Microsoft Oferece Proteção para Vulnerabilidade no ASP.NET

Microsoft Security Advisory 2659883 foi publicada para fornecer uma solução, para ajudar a proteger os clientes ASP.NET a partir de uma vulnerabilidade divulgada publicamente, que afeta várias plataformas Web de toda a indústria. Essa vulnerabilidade afeta todas as versões do Microsoft .NET Framework, e pode permitir que haja um ataque de negação de serviço em servidores que atendem homes em ASP.NET.

Sites que servem apenas conteúdo estático ou desativam os tipos de conteúdo dinâmico listados nos fatores de mitigação, não são vulneráveis a esta falha. A vulnerabilidade existe devido à maneira que o ASP.NET processa valores em uma postagem de formulário, causando um colision hash. É possível a um atacante, enviar um pequeno número de mensagens criadas especialmente para um servidor ASP.NET, degradando significativamente o desempenho do sistema, de forma suficiente para causar uma condição de negação de serviço, o famoso ataque DoS.

Andrew Storms, diretor de operações de segurança para nCircle disse que este não é o um ataque DoS de "classe" média, porque não envolve uma botnet ou qualquer coordenação a tornar um servidor inoperante. A maioria dos ataques DoS conta com um grande número de pequenas solicitações, dirigidas a um servidor web específico, com o intuito de sobrepujá-lo. Neste caso, uma única solicitação pode consumir um único núcleo por 90 segundos.


Saiba Mais:

[1] Security TechCenter http://technet.microsoft.com/en-us/s...visory/2659883