Microsoft heeft bekend gemaakt dat er een kwetsbaarheid is gevonden in ASP.NET waarbij het mogelijk is om een denial of service aanval uit te voeren. Ook andere ontwikkel-raamwerken zijn kwetsbaar.

Update

Er is exploitcode uitgebracht, waarmee de kwetsbaarheid kan worden uitgebuit op websites die zijn gebouwd in PHP. De kans op uitbuiting wordt hierdoor verhoogd. Deze advisory wordt hierdoor High/High.

Versie

Java, alle versies JRuby <= 1.6.5 PHP <= 5.3.8, <= 5.4.0RC3 Python, alle versies Rubinius, alle versies Ruby <= 1.8.7-p356 Apache Geronimo, alle versies Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22 Oracle Glassfish <= 3.1.1 Jetty, alle versies Plone, alle versies Rack, alle versies V8 JavaScript Engine, alle versies

Gevolgen

Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om een Denial of Service (DoS) aanval uit te voeren. Misbruik kan ertoe leiden dat de kwetsbare component te veel processorkracht opeist, waardoor legitieme verzoeken niet meer kunnen worden afgehandeld.

Beschrijving

-CVE-2011-3414
Microsoft heeft bekend gemaakt dat ASP.NET vatbaar is voor een hash-collision-kwetsbaarheid. Hierbij kan een kwaadwillende, door een klein aantal speciaal gefabriceerde HTTP requests te sturen, de performance van de server dusdanig verslechteren, dat er sprake is van een DoS. De kwetsbaarheid is gevonden in alle versies van .NET, zowel op desktops als op servers. Echter, alleen op webservers is de kwetsbaarheid uit te buiten en alleen als de application/x-www-form-urlencoded en/of multipart/form-data HTTP headers geaccepteerd worden. Meer informatie over de kwetsbaarheid in verschillende programmeertalen is te vinden op de Full Disclosure mailing list website:
http://seclists.org/fulldisclosure/2011/Dec/477
Op YouTube is een video te zien waarin de kwetsbaarheid door de onderzoekers wordt beschreven:
http://www.youtube.com/watch?v=_EEhviEO1Vo
Microsoft heeft detectiemaatregelen beschreven op haar blog:
http://blogs.technet.com/b/srd/archive/2011/12/27/more-information-about-the-december-2011-asp-net-vulnerability.aspx
Er is exploitcode uitgebracht, waarmee de kwetsbaarheid kan worden uitgebuit op websites die zijn gebouwd in PHP. De kans op uitbuiting wordt hierdoor verhoogd. Deze advisory wordt hierdoor High/High. Microsoft heeft updates beschikbaar gesteld waarin meerdere kwetsbaarheden in ASP.NET verholpen worden. In deze update worden, naast de beschreven hash-collision DoS, de volgende kwetsbaarheden verholpen:

-CVE-2011-3415
Een kwetsbaarheid in de Forms Authentication functie in ASP.NET. Kwaadwillenden kunnen deze kwetsbaarheid misbruiken om gebruikers om te leiden naar willekeurige websites. Standaard staat deze functie niet aan in ASP.NET, maar moet dit expliciet per applicatie worden ingeschakeld.

-CVE-2011-3416
Als een kwaadwillende een account kan registreren binnen een ASP.NET applicatie, en hij een valide accountnaam weet, kan hij een kwetsbaarheid in de Forms Authentication functie misbruiken om willekeurige commando's binnen ASP.NET uit te voeren. Standaard staat de Forms Authentication functie niet aan in ASP.NET, maar moet dit expliciet per applicatie worden ingeschakeld.

-CVE-2011-3417
Een kwetsbaarheid in de caching van de Forms Authentication functie kan door een kwaadwillende worden misbruikt om willekeurige code uit te voeren. Standaard staat output caching uit en is het niet mogelijk om deze kwetsbaarheid te misbruiken.

Mogelijke oplossingen

Microsoft

Microsoft heeft updates beschikbaar gesteld waarmee de kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele workarounds vindt u op:
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx

PHP

PHP heeft een workaround uitgebracht, die alleen als Release Candidate beschikbaar is via de PHP SVN. De workaround maakt gebruik van de nieuw toegevoegde max_input_vars directive.
http://svn.php.net/viewvc?view=revision&revision=321040

Ruby

In Ruby 1.8 wordt deze kwetsbaarheid verholpen in versie 1.8.7-p357. Ruby 1.9 bevat deze kwetsbaarheid niet. Zie voor meer informatie:
http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/

Apache Tomcat

Tomcat versies later dan 5.5.35, 6.0.35 of 7.0.23 zijn niet kwetsbaar voor dit lek.
http://secunia.com/advisories/47411/
Hyperlinks
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx

http://seclists.org/fulldisclosure/2011/Dec/477

http://www.youtube.com/watch?v=_EEhviEO1Vo

http://blogs.technet.com/b/msrc/archive/2011/12/28/microsoft-releases-security-advisory-2659883-offers-workaround-for-industry-wide-issue.aspx

http://www.nruns.com/_downloads/advisory28122011.pdf

http://technet.microsoft.com/en-us/security/advisory/2659883

http://www.ocert.org/advisories/ocert-2011-003.html

http://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.

Trackback link

Nog geen reacties

Wees de eerste die reageert!

Laat een reactie achter

Je moet ingelogd zijn om te kunnen reageren.