Groźna luka w oprogramowaniu webowym, Microsoft wydaje poprawkę

29.12.2011 21:13, Autor: Grzegorz Niemirowski (gniemirowski), Kategoria: News

Odkryta została dziura, która pozwala w łatwy sposób zawieszać serwery WWW.

Dość powszechną praktyką jest wykorzystywanie tzw. tablic mieszających do przechowywania danych z formularzy wysyłanych przez przeglądarkę do serwera WWW poprzez żądanie POST. Jeśli zostaną wysłane takie pola, że nastąpi kolizja hashy, obsługa tabeli może powodować duże obciążenie procesora. Okazuje się, że taka sytuacja dotyczy bardzo wielu narzędzi służących do tworzenia stron WWW. Należą do nich PHP 4 i 5, Java, Apache Tomcat, Apache Geronimo, Jetty, Oracle Glassfish, ASP.NET, Python, Plone, CRuby 1.8, JRuby, Rubinius i Google v8. Wykorzystując opisaną lukę atakujący może przeprowadzić atak DoS za pomocą niewielkiej liczby zapytań. Pojedyncze zapytanie HTTP o wielkości 100 kB może zawiesić serwer oparty o ASP.NET na 2 minuty.

Na lukę bardzo szybko zareagował Microsoft, poprawka jest już dostępna. Łata ona przy okazji także trzy inne dziury.

komentarze (22) podobne

r e k l a m a

Komentarze (22)

Banan | 29.12.2011 21:19#1

"Na lukę bardzo szybko zareagował Microsoft, poprawka jest już dostępna."

O to coś nowego! Oby tak dalej =)

sla17 | 29.12.2011 21:20#2

Nie dość, że szybka reakcja to jeszcze łata trzy inne dziury - jestem zaskoczony ;)

Maciej_S | 29.12.2011 21:21#3

Poprawka opublikowana nie w drugi wtorek miesiąca?
No, no!

Zulowski | 29.12.2011 21:24#4

Tyle technologii leży, a Microsoft z miejsca znalazł rozwiązanie problemu.
Czekam na odpowiedź OpenSource, gdzie każdy użytkownik ma źródło i sam może naprawić błąd ;p

januszek | 29.12.2011 21:24#5

Widać to nie była ot, taka sobie, zwykła, rutynowa dziura... ;)

Łukash | 29.12.2011 22:15#6

Jest już w WU.

TomTar | 29.12.2011 22:39#7

No nie spodziewałem się, że tak szybko Microsoft wyda poprawkę. Ciekawy jestem kiedy wyda poprawkę do Windows Phone.

DonM$ | 29.12.2011 22:57#8

DP zaktualizowane ?

patryk9200 | 29.12.2011 23:04#9

@DonM$
sprawdź to =)

SalcefiX | 29.12.2011 23:58#10

Microsoft coś szybko wydał aktualizację. Brawa za refleks.

aptu | 30.12.2011 1:42#11

MS nie jest pierwszy ktory wydal poprawke majaca zabezpieczac przed takim atakiem. CRyby, JRuby, PHP juz sa bezpieczne. Tak samo Apache Tomcat. Apache wydal dzisiaj nowa wersje Geronimo wykorzystujaca poprawiona wersje Tomcata. Poprawiona wersja Glassfisha jest juz w drodze.

przemekKK | 30.12.2011 7:25#12

Hehehe... super że są już dostępne aktualizacje. Podobno jakiś klub żon chciało wykorzystać lukę do wyłączenia redtube.com :)

yawamdam | 30.12.2011 9:05#13

Każda firma się stara, tam gdzie jej zależy, gdzie ma konkurencję, gdzie jest "z tyłu, za innymi", tak więc nic dziwnego, że poprawka wydana.

tfl | 30.12.2011 9:55#14

Czyta sie tez inne serwisy, co ? Kiedy w koncu zostanie dodana informacja o zrodle w newsach?!

Nie tylko POST, panie autorze.

matiasek (niezalogowany) | 30.12.2011 11:26#15

"Podobno jakiś klub żon chciało wykorzystać lukę do wyłączenia redtube.com :)"

Tylu ludziom by Sylwestra zepsuły... :D

roobal | 31.12.2011 2:45#16

@zulowski

"Czekam na odpowiedź OpenSource, gdzie każdy użytkownik ma źródło i sam może naprawić błąd ;p"

Różnica jest taka, że sam sobie mogę napisać łatkę i nie muszę czekać, aż deweloperzy łaskawie wydadzą łatkę.

Pozdrawiam!

command-dos | 31.12.2011 10:33#17

hehe, śmiech na sali :) błąd w otwarto-źródłowym oprogramowaniu, znalazł się w .NET - zastanawiające... Nie wiem czemu, ale kłamcom nie ufam, a do domu złodziei nie wpuszczam.

_mik | 31.12.2011 13:35#18

Problem jest znany od co najmniej roku 2003, kiedy to został załatany w perlu. Nowe jest tu tylko jego wykorzystanie przy haszowaniu zmiennych POST.
Trochę więcej na ten temat:
http://niebezpiecznik.pl/post/0day-atak-dos-na-php-java-ruby-python/
A co do Microsoftu, to z tego co kojarzę zrobili tylko obejście ograniczające ilość zmiennych POST, a nie poprawili algorytmu haszującego.

darekry | 31.12.2011 14:36#19

MS nie wydał łaty na dziurę, bo to nie jest dziura w implementacji, ale w założeniu. Dlatego dotyczy wielu różnych serwerów.

"łata" polega na ograniczeniu maksymalnej ilości zmiennych POST i GET do takiej liczby, z która radzi sobie serwer (1000) niezależnie od ilości kolizji hashy.
w PHP można to osiągnąć zmieniając wartosci w php.ini, a wersja 5.4 (ciągle RC) jest już odporna na taki atak.

Najgorzej wygląda to w przypadku javy, gdzie do tablicy mieszającej lądują też json

czedar (niezalogowany) | 31.12.2011 16:48#20

Czy można za pomocą tej luki włamać się do rutera ?

aptu | 31.12.2011 17:23#21

@darekry
Dlaczego Java jest w najgorszej sytuacji?Czym różni się wrzucanie do hashmap jsona w javie od tego samego wykonanego w pythonie czy php?

lucior (niezalogowany) | 02.01.2012 16:51#22

******** mam zainstalowane juz dwa aktualizacie

Dodaj komentarz

Zasady publikowania komentarzy

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk.
Szczegółowe zasady publikowania komentarzy.