1

Microsoft arregla falla peligrosa en ASP.net

Microsoft ha publicado una solución para una vulnerabilidad en su plataforma web ASP.NET que podría permitir a un atacante para lanzar un ataque de denegación en un servidor utilizando sencillas transmisiones de archivos de 100kb. Aunque todavía no está siendo explotado, Microsoft decidió que el potencial de problemas es suficiente para actuar en lo que será su única “corrección independiente” –standalone fix– en 2011. Un atacante explotando el reporte de Seguridad 2659883, considerado crítico, podría explotar una debilidad en la forma en que ASP.NET y otras aplicaciones web como Java y PHP 5 generan tablas de hash a partir de una solicitud HTTP POST, comiendo recursos de toda la CPU del servidor durante un período de tiempo con un solo archivo. Normalmente, un ataque de denegación de servicio con ese nivel de éxito requiere una red de bots de miles de cientos de miles de computadoras para lograr progreso en servidores que estén medianamente bien defendidos. “Un atacante podría enviar peticiones en repetidas ocasiones, lo que causaría que el rendimiento se degrade significativamente suficiente para causar una denegación de servicio, incluso para servidores multi-core o clusters de servidores”, dijo Microsoft esta semana en su aviso. El fallo fue puesto sólo en el dominio público a principios de esta semana en el Chaos Communication Congress en Berlín por los investigadores Alexander Klink y Wlde Julian, un mes después de informada la propia Microsoft, lo que ha hecho que Microsoft reciba algunos elogios de los investigadores por su pronta respuesta. “Consideramos que la reacción de Microsoft y la implementación d ela solución han mostrado una velocidad excepcional, ya que fueron notificadas solo al final del trabajo de los investigadores. Veremos cómo los otros proyectos y fabricantes afectados (PHP, Oracle, Phython, Ruby y otros) sacarán sus soluciones “, dijo el CTO de Qualys, Wolfgang Kandek. Andrew Storms de nCircle quedó impresionado, simplemente, de que Microsoft haya respondido en un período donde muchas compañías casi se detienen. “La correción de hoy [jueves] es la primera de este año [2011], y rompe lo que habría sido un récord perfecto para las correcciones de Microsoft de 2011. Estoy seguro de que algunos en el equipo de seguridad de Microsoft están guardando el champán que estaba preparado para este fin de año perfecto”, dijo.

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *