Microsoft kündigt Fix für ASP.NET #hashDoS an–Azure wird automatisch gefixt


Wie gestern in “Workaround gegen Denial of Service Attacke in ASP.NET #hashDoS #28C3” gewarnt, besteht bei Webservern (Windows Servern mit IIS) eine Verwundbarkeit gegen “hash collision attacks” #hashDoS.

Angreifer können mit speziell präparierten HTTP-Requests eine Hash-Tabelle mit einer großen Zahl von Werten befüllen, deren Keys in demselben Hash-Code aufgelöst werden – damit sinkt die Performance der HashTable auf eine simple Linked List. Das kann bei repetitiven Requests zu einer Überlastung des Webservers führen, sinngemäß so:

hashDos-attack-function

Betroffen ist auch ASP.NET. Microsoft arbeitet bereits an einem Fix, so schreibt ScottGu in seinem Blog:

Ab heute, 29. Dezember, etwa 19h (unsere Zeitzone) wird ein Fix verfügbar sein!

ASP.NET Security Update Shipping Thursday, Dec 29th

…"We are releasing the security update via Windows Update and the Windows Server Update Service.  You can also manually download and install it via the Microsoft Download Center. We will release the update on Thursday, December 29th at approximately 10am Pacific Time (US and Canada). We are announcing it ahead of time to ensure that administrators know that the security update is coming, and are prepared to apply it once it is available."

Der Fix wird per Windows Update, Windows Server Update Service und im Microsoft Download Center verfügbar sein.

Gestern bekannt gegeben – heute gefixt. Wow, das nenn ich wirklich rasch!

windows-azure-logo

Achja, betrifft die #hashDoS Verwundbarkeit Windows Azure Kunden?

Nein, ScottGu schreibt: “Customers on Azure that have their Hosted Services OS servicing policy set to "Auto" (which is the default) will have their environments automatically updated to include the security update. There is no action required for this.”

Sehr praktisch, diese Cloud Services… Zwinkerndes Smiley

Alle IT-Pros mit eigenen Webservern: Bei Verfügbarkeit Fix einspielen!!

Comments (1)
  1. Toni Pohl sagt:

    Update:

    Es gibt heute (etwa 22h bei uns) einen Webcast zu diesem Thema:

    TechNet Webcast: Information about Microsoft’s December 2011 Out-of-Band Security Bulletin Release (Level 200)

    msevents.microsoft.com/…/EventDetail.aspx

    Weitere Informationen:

    technet.microsoft.com/…/ms11-dec

    blogs.technet.com/…/microsoft-releases-ms11-100-for-security-advisory-2659883.aspx

    Bislang sind übrigens keine hashDoS Attacken bei Microsoft bekannt.

    Twitter: @msftsecresponse

Comments are closed.