严重的拒绝服务漏洞影响多数网络服务器

安全研究员Alexander Klink和Julian Walde发现了一个严重的漏洞,这个漏洞影响到大多数网络服务器。针对这个漏洞的攻击只需要一个HTTP请求,这个特殊设定的请求在提交表单数据时造成 哈希碰撞。当发现时,这个攻击影响到Python、Ruby、PHP、Java和ASP.NET,目前厂商正在和研究人员合作发布补丁。

Tomcat发布了7.0.23和6.0.35两个版本,通过限制POST表单字段数量最大值不超过10000,来解决这个问题。变更记录说明这个最大值是可配置的,但没提供细节。

ASP.NET的 补丁于12月29日发布。使用默认服务策略的Windows Azure客户会自动更新该补丁。该补丁同样限制了单个请求中的POST表单字段数量,为每个请求1000字段,比需要发动拒绝服务攻击所需的数量小很 多。通过appSetting键值“aspnet:MaxHttpCollectionKeys”可以配置表单字段数量。目前,这个配置只能应用于全网站范围,但也有针对页面覆写这个配置的需求。还修复了一个针对JSON输入和反序列化逻辑的相关缺陷。

PHP候选发布版5.4.0也提供了max_input_vars指令。发布说明没有提到默认值。

截止目前,我们提到的所有厂商都在网络服务器端,通过限制单请求的字段数量,解决了这个问题。另一个选择是采用随机的字符串哈希公式。Ruby就是这样的语言。.NET也实现同样的功能,但只限于内部版本。产品发布目前有一个集合公式,但考虑到这个问题的严重性,可能会在下一次CLR升级的时候有所改变。对于Java来说这不是很容易,JVM规定了字符串的哈希公式,以保证开发人员在所有版本上都可以信赖它。

Oracle Glassfish的更新据信也已完成,但还没有发布。也没有公布解决这个问题方式的任何信息。

更多关于这个问题的信息可以在Ars TechnicaChaos Communication Congress网站上找到。

查看英文原文:Major Denial of Service Vulnerability Affects Most Web Servers

译者 姚九强 是一名业务分析师,机器人爱好者,目前在ThoughtWorks。关注敏捷方法、运维和业务模型。

This entry was posted in ASP.NET. Bookmark the permalink.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s