Security Advisory 2659883 - Haavoittuvuus ASP.NET-kirjastossa

  • Article

Microsoft on julkaissut uuden Security Advisoryn 2659883 otsikolla Vulnerability in ASP.NET Could Allow Denial of Service. Security Advisory koskee ASP.NET-kirjastoa kaikissa tällä hetkellä tuetuissa .NET Frameworkin versioissa. ASP.NET-kirjastosta on löydetty haavoittuvuus, joka liittyy kirjaston tapaan käsitellä hash table -tietoja web-palvelimessa, jossa jokin web-sivu voi vastaanottaa tietoja ASP.NET-pohjaiselle lomakkeelle HTTP POST -pyynnön välityksellä. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta lähettämällä sivulle useita tietyllä tavalla muotoiltuja HTTP POST -pyyntöjä, mikä saattaa aiheuttaa sen, että hash table -tietojen käsittely kuluttaa kaiken prosessoritehon koneesta, ja sitä kautta palvelin ei enää vastaa sille lähetettyihin pyyntöihin. Haavoittuvuus voi siis aiheuttaa palvelimessa Denial of Service -tilanteen. On kuitenkin huomattava, että haavoittuvuus ei anna hyökkääjälle mahdollisuutta suorittaa haluaamansa ohjelmakoodia kohteena olevassa järjestelmässä.    

Haavoittuvuus koskee kaikkia .NET Frameworkin tuettuja versioita kaikissa tuetuissa Windows-käyttöjärjestelmällä varustetuissa järjestelmissä. 

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla kerrotaan keino, jonka avulla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää. Keino liittyy HTTP POST -pyyntöjen koon rajoittamiseen.

Microsoft on lisäksi myös julkaisemassa korjauksen haavoittuvuuteen normaalin julkaisuaikataulun ulkopuolella. Näillä näkymin korjaus julkaistaan 29. joulukuuta 2011 n. klo 20.00 Suomen aikaa. Lisätietoja löytyy MSRC:n blogista.

Lisätietoja haavoittuvuudesta löytyy MSRC:n blogista osoitteessa https://blogs.technet.com/msrc/ sekä Security Research and Defense -blogista osoitteesta https://blogs.technet.com/b/srd/archive/2011/12/27/more-information-about-the-december-2011-asp-net-vulnerability.aspx.