IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Développement Web avec .NET Discussion :

Le code d’exploitation d’une faille critique dans ASP.NET publié


Sujet :

Développement Web avec .NET

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 569
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 569
    Points : 252 252
    Points
    252 252
    Billets dans le blog
    117
    Par défaut Le code d’exploitation d’une faille critique dans ASP.NET publié
    Le code d’exploitation d’une faille critique dans ASP.NET publié
    les Webmasters doivent appliquer d’urgence le patch de sécurité de Microsoft

    Le code pour la preuve de faisabilité (PoC) d’une vulnérabilité permettant une attaque par déni de service (DoS) sur la plateforme de développement ASP.NET a été divulgué publiquement sur le Web.

    La vulnérabilité avait été découverte et présentée en décembre dernier lors de la conférence européenne sur le piratage Chaos Communication Congress. Compte tenu de la gravité de cette faille, Microsoft avait publié d’urgence un correctif sans attendre les cycles de mises à jour habituels.

    Selon l’avis de sécurité publié par Microsoft, la vulnérabilité affecte plusieurs plateformes de développement, y compris ASP.NET.

    La faille pourrait permettre à un attaquant anonyme de consommer toutes les ressources processeur d’un serveur Web ou d’un cluster du serveur Web de manière efficace. Pour ASP.NET en particulier, une seule requête HTTP de 100Kb bien conçue pourrait consommer 100% d’un noyau CPU entre 90 et 110 secondes.

    Un attaquant pourrait donc à plusieurs reprises soumettre de telles requêtes, causant ainsi une dégradation assez importante, pouvant aboutir à un déni de service, même pour des serveurs clusters ou multicœurs.

    Les risques potentiels d’attaques utilisant cette faille ont été augmentés, car un utilisateur de GitHub, la plateforme d’hébergement des projets open sources, du nom de HybrisDisaster a publié une preuve de faisabilité exploitant la vulnérabilité.

    Dans les notes figurant dans le code d’exploit, celui-ci encourage les internautes à télécharger, utiliser et rependre le PoC. Par ailleurs, sur ces notes figurent les termes « nous sommes légion », un slogan couramment utilisé par le collectif d’hacktivistes Anonymous.

    Compte tenu de la gravité de la faille, les Webmasters sont invités à appliquer dans les plus brefs délais le patch de sécurité qui apporte des correctifs pour trois autres failles dans le Framework .NET.


    la preuve de faisabilité sur GitHub

    Le bulletin de sécurité de Microsoft sur la faille
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre confirmé
    Inscrit en
    février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 230
    Points : 578
    Points
    578
    Par défaut
    Le patch Tuesday de décembre (MS11-100) ne corrige-t-il pas la faille en question pour ASP.NET?

    Qu'en est-il des autres langages? (PHP, Java, Python, ...)

Discussions similaires

  1. Réponses: 3
    Dernier message: 04/06/2014, 14h06
  2. Réponses: 3
    Dernier message: 14/08/2013, 13h08
  3. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 10h01
  4. Réponses: 15
    Dernier message: 24/07/2010, 10h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo