Informações sobre vulnerabilidade no ASP.NET pode permitir negação de serviço

Ontem a Microsoft publicou um comunicado de segurança (2659883) sobre um problema no componente .NET Framework, que faz com que um servidor com os componentes IIS/ASP.NET esteja sujeito à ataque de negação de serviço (DoS – Deny of Service). A ação de mitigação do problema recomendada no artigo solicita que seja configurado um limite do tamanho máximo de solicitação que o ASP.NET aceitará de um cliente.

Hoje a Microsoft lançou o boletim extra de segurança MS11-100 (OOB – out-of-band) e já está disponível uma atualização para o componente .Net Framework que corrige o problema. Além deste problema de negação de serviço, a atualização também corrige outras três vulnerabilidades no mesmo componente: duas relacionadas à elevação de privilégio e outra relacionada à spoofing.

Amanhã às 13:30h (Brasília) o time de CSS Security fará uma apresentação, em português, sobre os detalhes desta vulnerabilidade. Esta apresentação será aberta ao público em geral e pode ser acessada através da seguinte URL:

CSS Security: Boletim Segurança Extra Dezembro/2011 - MS11-100
Alguns recursos adicionais como detectar e prevenir este problema consulte os seguintes recursos (em inglês):

Microsoft Security Bulletin MS11-100 – Critical
https://technet.microsoft.com/en-us/security/bulletin/ms11-100

More information about the December 2011 ASP.Net vulnerability
https://blogs.technet.com/b/srd/archive/2011/12/27/more-information-about-the-december-2011-asp-net-vulnerability.aspx