Ayer Microsoft publicó un comunicado de seguridad (2659883) acerca de un problema en el .Net Framework, que hace que un servidor que está configurado con cualquier versión de ASP.Net, pueda estar sujeto de un ataque de Negación de Servicio (DoS – Deny of Service). La acción a tomar para mitigar el problema, recomendada en la publicación, fue la de limitar el tamaño máximo de las solicitudes web que ASP.Net puede aceptar de un cliente.

El día de hoy Microsoft público un boletín extra de seguridad MS11-100 (OOB – out-of-band) en donde ya se encuentra disponible una actualización para las diferentes versiones del Framework que corrige el problema. Adicionalmente al problema de negación de servicio, esta actualización corrige otras tres vulnerabilidades en el mismo componente: dos relacionadas a elevación de privilegios y otra relacionada con spoofing.

Mañana a las 10:00 AM UTC – 05 (Bogotá, Lima, Quito) se realizara una presentación en español por parte del equipo de Seguridad de CSS, esta sesión estará abierta para el público en general y podrá ser accedida a través del siguiente enlace:

http://blogs.technet.com/b/seguridad/archive/2011/12/29/invitaci-243-n-a-la-presentaci-243-n-del-bolet-237-n-de-seguridad-fuera-de-banda-ms11-100-de-diciembre-de-2011.aspx

Algunos recursos adicionales de cómo detectar y prevenir este problema los puede encontrar en los siguientes enlaces (en inglés):

Microsoft Security Bulletin MS11-100 – Critical
http://technet.microsoft.com/en-us/security/bulletin/ms11-100

More information about the December 2011 ASP.Net vulnerability
http://blogs.technet.com/b/srd/archive/2011/12/27/more-information-about-the-december-2011-asp-net-vulnerability.aspx