1 de enero de 2012

Una sola vulnerabilidad podría provocar la caída de casi todos los servicios web

Esta vulnerabilidad afectaría a casi todas las plataformas de servicios web actuales y podría permitir  ataques de denegación de servicio.
La vulnerabilidad, fue presentada en el congreso Chaos Communication Congress, organizado por el Chaos Computer Club, afecta a tecnologías de desarrollo web como, PHP, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache Geronimo, Jetty o  Glassfish.
Versiones afectadas:
  • Quedan excluidos de la vulnerabilidad los lenguajes Perl y CRuby 1.9.
Recomendaciones:
  • Los principales lenguajes ya han publicado actualizaciones y parches que corrigen esta vulnerabilidad, que pueden ser descargadas desde la página oficial de cada uno de ellos.
Más información:

#2011-003 multiple implementations denial-of-service via hash algorithm collision
http://www.ocert.org/advisories/ocert-2011-003.html

Efficient Denial of ServiceAttacks on Web ApplicationPlatforms
http://events.ccc.de/congress/2011/Fahrplan/attachments/2007_28C3_Effective_DoS_on_web_application_platforms.pdf

Microsoft Security Bulletin MS11-100 – Critical
Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
http://technet.microsoft.com/es-es/security/bulletin/ms11-100

[SECURITY] Apache Tomcat and the hashtable collision DoS vulnerability
http://mail-archives.apache.org/mod_mbox/www-announce/201112.mbox/%3C4EFB9800.5010106@apache.org%3E

Denial of Service through hash tablemulti-collisions
http://www.nruns.com/_downloads/advisory28122011.pdf

Denial of Service via Algorithmic Complexity Attacks
http://www.cs.rice.edu/~scrosby/hash/CrosbyWallach_UsenixSec2003/index.html

CCC Event blog – 28C3
http://events.ccc.de/

Fuente: Hispsec
Publicado por en
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)