[English readers: you can find English links in this post for your convenience]

E’ stato da poco pubblicato un Security Advisory per segnalare la presenza di una nuova vulnerabilità in diverse piattaforme Web (tecnicamente parlando, si tratta di un nuovo metodo di “hash collision attacks”) che permetterebbe di condurre attacchi di tipo DoS (Denial of Service). Per quanto riguarda la piattaforma Microsoft il problema interessa ASP.NET in tutte le versioni attualmente supportate del .NET Framework:

Microsoft Security Advisory (2659883) - Vulnerability in ASP.NET Could Allow Denial of Service

MSRC Blog > Microsoft releases Security Advisory 2659883, offers workaround for industry-wide issue 

Security Research & Defense Blog > More information about the December 2011 ASP.Net vulnerability

L’attacco DoS è realizzabile da un utente non autenticato che potrebbe attaccare un sito web basato su ASP.NET tramite l’invio di pochi form malformati ad arte e causare così il blocco del sito web.

Anche se al momento in cui scrivo non si è a conoscenza di attacchi che utilizzino questo tipo di vulnerabilità, considerando l’ampio impatto della problematica mi aspetto che la realizzazione e relativa pubblicazione dell’exploit possa avvenire a breve: è per questo che suggerisco di valutare rapidamente i mitigating factors e il workaround raccomandato che sono documentati nel Security Advisory 2659883, in attesa del rilascio dell’aggiornamento correttivo.

Per le altre piattaforme Web suggerisco di puntare al sito dell’ US-CERT dove ragionevolmente potranno essere pubblicate analoghe raccomandazioni per le altre piattaforme, laddove dovessero risultare vulnerabili rispetto a questa problematica.

Aggiornamento del 29/12/2011:

Feliciano

Other related posts/resources: