Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Le code d'exploitation d'une faille critique dans ASP.NET publié
Les Webmasters doivent appliquer d'urgence le correctif de Microsoft

Le , par Hinault Romaric, Responsable .NET
Le code pour la preuve de faisabilité (PoC) d’une vulnérabilité permettant une attaque par déni de service (DoS) sur la plateforme de développement ASP.NET a été divulgué publiquement sur le Web.

La vulnérabilité avait été découverte et présentée en décembre dernier lors de la conférence européenne sur le piratage Chaos Communication Congress. Compte tenu de la gravité de cette faille, Microsoft avait publié d’urgence un correctif sans attendre les cycles de mises à jour habituels.

Selon l’avis de sécurité publié par Microsoft, la vulnérabilité affecte plusieurs plateformes de développement, y compris ASP.NET.

La faille pourrait permettre à un attaquant anonyme de consommer toutes les ressources processeur d’un serveur Web ou d’un cluster du serveur Web de manière efficace. Pour ASP.NET en particulier, une seule requête HTTP de 100Kb bien conçue pourrait consommer 100% d’un noyau CPU entre 90 et 110 secondes.

Un attaquant pourrait donc à plusieurs reprises soumettre de telles requêtes, causant ainsi une dégradation assez importante, pouvant aboutir à un déni de service, même pour des serveurs clusters ou multicœurs.

Les risques potentiels d’attaques utilisant cette faille ont été augmentés, car un utilisateur de GitHub, la plateforme d’hébergement des projets open sources, du nom de HybrisDisaster a publié une preuve de faisabilité exploitant la vulnérabilité.

Dans les notes figurant dans le code d’exploit, celui-ci encourage les internautes à télécharger, utiliser et rependre le PoC. Par ailleurs, sur ces notes figurent les termes « nous sommes légion », un slogan couramment utilisé par le collectif d’hacktivistes Anonymous.

Compte tenu de la gravité de la faille, les Webmasters sont invités à appliquer dans les plus brefs délais le patch de sécurité qui apporte des correctifs pour trois autres failles dans le Framework .NET.

la preuve de faisabilité sur GitHub

Le bulletin de sécurité de Microsoft sur la faille


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de GCSX_ GCSX_ - Membre confirmé https://www.developpez.com
le 11/01/2012 à 13:41
Le patch Tuesday de décembre (MS11-100) ne corrige-t-il pas la faille en question pour ASP.NET?

Qu'en est-il des autres langages? (PHP, Java, Python, ...)
Offres d'emploi IT
Consultants IT Infrastructures ConfirmésH/F
Atos Infogérance - Ile de France - Bezons
Software Engineer Jeux vidéo
CA - Ile de France - Paris
Apprenti Key Account Manager H/F
Philips - Ile de France - Suresnes

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil