MS11-100 permet de combler une vulnérabilité 0-day dans ASP.NET. Elle affecte toutes les versions de .NET Framework avec toutes les versions de Windows supportées. Son exploitation permet une attaque par déni de service sur des serveurs pour des pages ASP.NET. Microsoft n'a toutefois reçu aucun rapport en ce sens.
Le problème est dû à une erreur pour la gestion des tables de hash. Avec une requête POST spécialement conçue contenant des milliers de données de formulaire, une grande partie des ressources CPU d'une machine cible peut être consommée. Les sites avec seulement des pages statiques ne sont pas concernés.
Le problème est connu depuis plusieurs années et selon plusieurs chercheurs en sécurité, d'autres langages seraient aussi touchés comme PHP 4 et 5, Java, Python, Ruby...
La petite surprise avec la mise à jour de sécurité de Microsoft est qu'elle ne corrige pas seulement une vulnérabilité mais quatre au total dans .NET Framework. Les trois autres ont été divulguées de manière confidentielle ( dont une critique d'élévation de privilèges ). Microsoft a intégré la quatrième correction à un patch qui avait déjà été développé et testé pour une publication ultérieure.
Ingénieur du centre de sécurité de Microsoft, Jonathan Ness en profite pour remercier l'équipe ASP.NET pour leurs " vacances héroïques ". Un sacrifice de Noël afin de combler un trou de sécurité.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.