Actualización disponible para ASP.NET desde el Jueves 29 de Diciembre

Hace unos días MicrosofT publicó un boletín de seguridad anunciando que se iba a publicar una actualización de seguridad para una vulnerabilidad de ASP.NET.

La actualización MS11-100 está disponible a través de Windows Update, del Windows Server Update Service y como descarga en el centro de descargas de Microsoft.

La actualización resuelve un problema que permite realizar ataques de denegación de servicio (DoS) presente en todas las versiones de ASP.NET. No se han detectado ataques en ninguno de nuestros clientes usando este exploit, pero recomendamos que se aplique la actualización lo antes posible.Más sobre el problema de seguridad.

El 28 de Diciembre de 2011, en una conferencia sobre seguridad se describió un nuevo método para modificar las estructuras de datos de las tablas hash en frameworks web. Los ataques sobre este tipo de vulnerabilidad son conocidos como "hash collision attacks" (ataques de colisión hash).

Estos ataques intentan calcular una tabla hash en servidores con un gran número de elementos cuyas claves devuelven el mismo hash. Estas colisiones de claves reducen significativamente el rendimiento de las operaciones de la tabla hash, y con los suficientes elementos el servidor puede tardar minutos (incluso horas) en resolverlos. Esto bloquea el servidor web y no atiende a las peticiones de los usuarios, resultando en una denegación de servicio (haciendo que el sitio web se vuelva lento y no responda).

Estos ataques no son específicos de un lenguaje particular ni de un sistema operativo. Los ponentes en la conferencia mostraron cómo hacerlo usando peticiones HTTP sobre diferentes frameworks (incluido ASP.NET). Como estos ataques generar incidencias de denegación de servicios con pocas peticiones HTTP, hay una gran probabilidad de que sucedan estos ataques. Recomendamos a nuestro clientes que apliquen la actualización lo más pronto posible.

La actualización se publicó ayer 29 de Diciembre, con esta actualización no se podrán realizar este tipo de ataques. No habrá que modificar ninguna aplicación tras la actualización.

Aprende más

Podéis aprender más sobre esta vulnerabilidad en el Microsoft Security Advisory (2659883).

Si tenéis alguna pregunta sobre la vulnerabilidad o algún problema con la actualización, podéis postear vuestras preguntas en el foro de Security Vulnerability del sitio www.asp.net.

Para tener la última información, podéis seguir el twitter del equipo MSRC en @MSFTSecResponse.

Espero que sirva.

Scott.

Traducido por: Juan María Laó Ramos.

Artículo original

Deja un comentario