ASP.NET : correction "héroïque" de Microsoft

Le par  |  2 commentaire(s)
Logo Microsoft Pro

Microsoft diffuse en urgence un correctif de sécurité pour corriger des vulnérabilités dans .NET Framework dont une divulguée publiquement.

Logo Microsoft ProAvec cette rustine prodiguée hors du Patch Tuesday, Microsoft franchit le cap des 100 mises à jour de sécurité pour cette année 2011 qui touche à sa fin. Mercredi, Microsoft avait publié un avis de sécurité afin d'annoncer ce centième bulletin de sécurité.

MS11-100 permet de combler une vulnérabilité 0-day dans ASP.NET. Elle affecte toutes les versions de .NET Framework avec toutes les versions de Windows supportées. Son exploitation permet une attaque par déni de service sur des serveurs pour des pages ASP.NET. Microsoft n'a toutefois reçu aucun rapport en ce sens.

Le problème est dû à une erreur pour la gestion des tables de hash. Avec une requête POST spécialement conçue contenant des milliers de données de formulaire, une grande partie des ressources CPU d'une machine cible peut être consommée. Les sites avec seulement des pages statiques ne sont pas concernés.

Le problème est connu depuis plusieurs années et selon plusieurs chercheurs en sécurité, d'autres langages seraient aussi touchés comme PHP 4 et 5, Java, Python, Ruby...

La petite surprise avec la mise à jour de sécurité de Microsoft est qu'elle ne corrige pas seulement une vulnérabilité mais quatre au total dans .NET Framework. Les trois autres ont été divulguées de manière confidentielle ( dont une critique d'élévation de privilèges ). Microsoft a intégré la quatrième correction à un patch qui avait déjà été développé et testé pour une publication ultérieure.

Ingénieur du centre de sécurité de Microsoft, Jonathan Ness en profite pour remercier l'équipe ASP.NET pour leurs " vacances héroïques ". Un sacrifice de Noël afin de combler un trou de sécurité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #879541
ce sont des héros chez microsoft
Le #879561
A vérifier mais pour PHP je crois que ça vient d'être comblé dans la toute dernière RC (la 4) de PHP 5.4.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]