Groźna luka w oprogramowaniu webowym, Microsoft wydaje poprawkę

Odkryta została dziura, która pozwala w łatwy sposób zawieszać serwery WWW.

Dość powszechną praktyką jest wykorzystywanie tzw. tablic mieszających do przechowywania danych z formularzy wysyłanych przez przeglądarkę do serwera WWW poprzez żądanie POST. Jeśli zostaną wysłane takie pola, że nastąpi kolizja hashy, obsługa tabeli może powodować duże obciążenie procesora. Okazuje się, że taka sytuacja dotyczy bardzo wielu narzędzi służących do tworzenia stron WWW. Należą do nich PHP 4 i 5, Java, Apache Tomcat, Apache Geronimo, Jetty, Oracle Glassfish, ASP.NET, Python, Plone, CRuby 1.8, JRuby, Rubinius i Google v8. Wykorzystując opisaną lukę atakujący może przeprowadzić atak DoS za pomocą niewielkiej liczby zapytań. Pojedyncze zapytanie HTTP o wielkości 100 kB może zawiesić serwer oparty o ASP.NET na 2 minuty.

Na lukę bardzo szybko zareagował Microsoft, poprawka jest już dostępna. Łata ona przy okazji także trzy inne dziury.