Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le code d'exploitation d'une faille critique dans ASP.NET publié
Les Webmasters doivent appliquer d'urgence le correctif de Microsoft

Le , par Hinault Romaric

0PARTAGES

2  0 
Le code pour la preuve de faisabilité (PoC) d’une vulnérabilité permettant une attaque par déni de service (DoS) sur la plateforme de développement ASP.NET a été divulgué publiquement sur le Web.

La vulnérabilité avait été découverte et présentée en décembre dernier lors de la conférence européenne sur le piratage Chaos Communication Congress. Compte tenu de la gravité de cette faille, Microsoft avait publié d’urgence un correctif sans attendre les cycles de mises à jour habituels.

Selon l’avis de sécurité publié par Microsoft, la vulnérabilité affecte plusieurs plateformes de développement, y compris ASP.NET.

La faille pourrait permettre à un attaquant anonyme de consommer toutes les ressources processeur d’un serveur Web ou d’un cluster du serveur Web de manière efficace. Pour ASP.NET en particulier, une seule requête HTTP de 100Kb bien conçue pourrait consommer 100% d’un noyau CPU entre 90 et 110 secondes.

Un attaquant pourrait donc à plusieurs reprises soumettre de telles requêtes, causant ainsi une dégradation assez importante, pouvant aboutir à un déni de service, même pour des serveurs clusters ou multicœurs.

Les risques potentiels d’attaques utilisant cette faille ont été augmentés, car un utilisateur de GitHub, la plateforme d’hébergement des projets open sources, du nom de HybrisDisaster a publié une preuve de faisabilité exploitant la vulnérabilité.

Dans les notes figurant dans le code d’exploit, celui-ci encourage les internautes à télécharger, utiliser et rependre le PoC. Par ailleurs, sur ces notes figurent les termes « nous sommes légion », un slogan couramment utilisé par le collectif d’hacktivistes Anonymous.

Compte tenu de la gravité de la faille, les Webmasters sont invités à appliquer dans les plus brefs délais le patch de sécurité qui apporte des correctifs pour trois autres failles dans le Framework .NET.

la preuve de faisabilité sur GitHub

Le bulletin de sécurité de Microsoft sur la faille

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de GCSX_
Membre confirmé https://www.developpez.com
Le 11/01/2012 à 13:41
Le patch Tuesday de décembre (MS11-100) ne corrige-t-il pas la faille en question pour ASP.NET?

Qu'en est-il des autres langages? (PHP, Java, Python, ...)
0  0