Tháng 1
5
2012

Microsoft vá ASP.net gấp do lỗ hổng trong các framework ứng dụng web

Các nhà nghiên cứu cho biết, cách mà nhiều framework ứng dụng web xử lý các bảng băm (một dạng cấu trúc dữ liệu) khiến cho chúng dễ bị “hở sườn” trước các cuộc tấn công từ chối dịch vụ (DoS).

Nhiều framework ứng dụng web dễ bị tổn hại do tấn công DoS đang nhắm vào cách chúng xử lý các bảng băm (hash table), hôm thứ Tư, một số nhà nghiên cứu tiết lộ. Chỉ vài giờ sau, Microsoft đã công bố một bản vá bất thường cho nền tảng ASP.NET của mình.

lo hong asp.net

Bảng băm được sử dụng để lưu trữ và lấy lại dữ liệu một cách nhanh chóng, phân bổ dữ liệu vào các vị trí khác nhau trong bảng dựa trên kết quả của việc tính toán – hàm băm – thực hiện trên bản thân dữ liệu. Lý tưởng nhất, hàm băm sẽ trả về một kết quả khác, hoặc băm (hash), cho từng khoản mục có thể của dữ liệu, nhưng điều này là không thể đạt được trong thực tế. Vì vậy, việc thực hiện (implementation) các bảng băm phải giải quyết được “những xung đột băm”, nơi hai hoặc nhiều mảnh khác nhau của dữ liệu tạo ra cùng hàm băm.

Xung đột làm chậm việc lưu trữ và lấy lại dữ liệu có liên quan. Theo các nhà nghiên cứu bảo mật Alexander Klink và Julian Wlde, thời gian thực hiện đối với những hoạt động này thường tỷ lệ thuận với bình phương của số lượng khoản mục có trong xung đột. Một kẻ tấn công có kiến thức về việc ứng dụng web tính toán băm như thế nào có thể gửi một loạt dữ liệu để dẫn đến nhiều xung đột, “làm cạn kiệt thời gian CPU bằng cách sử dụng một yêu cầu đối với giao thức HTTP”, hai ông Klink và Wlde cảnh báo.

Cả PHP 5, Java và ASP.NET đều bị tổn hại trước tấn công, 2 ông Klink và Wlde nói tại Đại hội Chaos Communication Congress ở Berlin (Đức).

Cuối ngày 28/12/2011, Microsoft đã thừa nhận lỗ hổng trong ASP.net có thể cho phép tấn công DoS. Ngay sau đó công ty thông báo sẽ phát hành một bản vá bất thường cho lỗ hổng bảo mật này vào vào khoảng 10h sáng (giờ Thái Bình Dương) ngày thứ Năm 29/12/2011.

Các bài hay khác

Về tác giả: Dũng Phạm Trung

Cách cài đặt là trang cung cấp hướng dẫn cấu hình, cài đặt và sử dụng phần mềm. Nội dung trên website được chúng tôi sưu tầm hoặc tạo ra nhằm giúp mọi người nắm bắt được những kiến thức CNTT một cách đơn giản nhất.

Với lời bình

CommentLuv badge

Comments links could be nofollow free.

Bài nhiều người đọc

Gán cơ chế bảo mật SSL vào blog WordPress
Comments2
Các phương pháp hack máy tính và cách đề phòng
Comments2
[Kiến thức cơ bản] Thuật ngữ bảo mật
Comments1
4 lý do tại sao không nên mã hóa phân vùng Linux
Comments1
Bảo mật cho ứng dụng web
Comments0
Nguy cơ mất an toàn thông tin từ tên miền quốc tế giá rẻ
Comments0
5 công cụ giám sát mạng hữu ích
Comments0
[Kiến thức cơ bản] Tổng quan về Firewall
Comments0
Microsoft vá ASP.net gấp do lỗ hổng trong các framework ứng dụng web
Comments0
5 dấu hiệu máy tính nhiễm phần mềm độc hại
Comments0

Bình luận mới nhất

  • Loading...