Le code d’exploitation d’une faille critique dans ASP.NET publié

Hinault Romaric · 11/01/2012, 10h03

Le code d’exploitation d’une faille critique dans ASP.NET publié
les Webmasters doivent appliquer d’urgence le patch de sécurité de Microsoft

Le code pour la preuve de faisabilité (PoC) d’une vulnérabilité permettant une attaque par déni de service (DoS) sur la plateforme de développement ASP.NET a été divulgué publiquement sur le Web.

La vulnérabilité avait été découverte et présentée en décembre dernier lors de la conférence européenne sur le piratage Chaos Communication Congress. Compte tenu de la gravité de cette faille, Microsoft avait publié d’urgence un correctif sans attendre les cycles de mises à jour habituels.

Selon l’avis de sécurité publié par Microsoft, la vulnérabilité affecte plusieurs plateformes de développement, y compris ASP.NET.

La faille pourrait permettre à un attaquant anonyme de consommer toutes les ressources processeur d’un serveur Web ou d’un cluster du serveur Web de manière efficace. Pour ASP.NET en particulier, une seule requête HTTP de 100Kb bien conçue pourrait consommer 100% d’un noyau CPU entre 90 et 110 secondes.

Un attaquant pourrait donc à plusieurs reprises soumettre de telles requêtes, causant ainsi une dégradation assez importante, pouvant aboutir à un déni de service, même pour des serveurs clusters ou multicœurs.

Les risques potentiels d’attaques utilisant cette faille ont été augmentés, car un utilisateur de GitHub, la plateforme d’hébergement des projets open sources, du nom de HybrisDisaster a publié une preuve de faisabilité exploitant la vulnérabilité.

Dans les notes figurant dans le code d’exploit, celui-ci encourage les internautes à télécharger, utiliser et rependre le PoC. Par ailleurs, sur ces notes figurent les termes « nous sommes légion », un slogan couramment utilisé par le collectif d’hacktivistes Anonymous.

Compte tenu de la gravité de la faille, les Webmasters sont invités à appliquer dans les plus brefs délais le patch de sécurité qui apporte des correctifs pour trois autres failles dans le Framework .NET.

la preuve de faisabilité sur GitHub

Le bulletin de sécurité de Microsoft sur la faille

GCSX_ · 11/01/2012, 13h41

Le patch Tuesday de décembre (MS11-100) ne corrige-t-il pas la faille en question pour ASP.NET?

Qu'en est-il des autres langages? (PHP, Java, Python, ...)

11/01/2012, 10h03	#1
Hinault Romaric Chroniqueur Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 125 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 125 Points : 31 267 Points : 31 267	Le code d’exploitation d’une faille critique dans ASP.NET publié Le code d’exploitation d’une faille critique dans ASP.NET publié les Webmasters doivent appliquer d’urgence le patch de sécurité de Microsoft Le code pour la preuve de faisabilité (PoC) d’une vulnérabilité permettant une attaque par déni de service (DoS) sur la plateforme de développement ASP.NET a été divulgué publiquement sur le Web. La vulnérabilité avait été découverte et présentée en décembre dernier lors de la conférence européenne sur le piratage Chaos Communication Congress. Compte tenu de la gravité de cette faille, Microsoft avait publié d’urgence un correctif sans attendre les cycles de mises à jour habituels. Selon l’avis de sécurité publié par Microsoft, la vulnérabilité affecte plusieurs plateformes de développement, y compris ASP.NET. La faille pourrait permettre à un attaquant anonyme de consommer toutes les ressources processeur d’un serveur Web ou d’un cluster du serveur Web de manière efficace. Pour ASP.NET en particulier, une seule requête HTTP de 100Kb bien conçue pourrait consommer 100% d’un noyau CPU entre 90 et 110 secondes. Un attaquant pourrait donc à plusieurs reprises soumettre de telles requêtes, causant ainsi une dégradation assez importante, pouvant aboutir à un déni de service, même pour des serveurs clusters ou multicœurs. Les risques potentiels d’attaques utilisant cette faille ont été augmentés, car un utilisateur de GitHub, la plateforme d’hébergement des projets open sources, du nom de HybrisDisaster a publié une preuve de faisabilité exploitant la vulnérabilité. Dans les notes figurant dans le code d’exploit, celui-ci encourage les internautes à télécharger, utiliser et rependre le PoC. Par ailleurs, sur ces notes figurent les termes « nous sommes légion », un slogan couramment utilisé par le collectif d’hacktivistes Anonymous. Compte tenu de la gravité de la faille, les Webmasters sont invités à appliquer dans les plus brefs délais le patch de sécurité qui apporte des correctifs pour trois autres failles dans le Framework .NET. la preuve de faisabilité sur GitHub Le bulletin de sécurité de Microsoft sur la faille __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	20

11/01/2012, 13h41	#2
GCSX_ Membre éprouvé Inscription : février 2010 Messages : 225 Détails du profil Informations forums : Inscription : février 2010 Messages : 225 Points : 463 Points : 463	Le patch Tuesday de décembre (MS11-100) ne corrige-t-il pas la faille en question pour ASP.NET? Qu'en est-il des autres langages? (PHP, Java, Python, ...)
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email