[u-help]

Microsoft распространила предупреждение о наличии уже находящейся в эксплуатации у хакеров 0day уязвимости в среде ASP.NET. Согласно сообщению корпорации, уязвимость существует в подсистеме, отвечающей за обработку форм Post в ASP.NET. В результате уязвимости хакеры могут вызвать коллизию хэш-значений и провести DOS-атаку на целевой сервер, где запущена данная среда.

В Microsoft говорят, что атакующий может сконструировать специальный HTTP-запрос, содержащий очень большие значения данных, передаваемых в форму Post для дальнейшей обработки со стороны ASP.NET. Данное значение в итоге поглотит все свободные ресурсы центрального процессора сервера. Этой уязвимости не подвержены серверы, обслуживающие статические страницы. Сайты, которые явно запрещают выполнение контента application/x-www-form-urlencoded или multipart/form-data HTTP, не подвержены данным атакам.

В Microsoft говорят, что им стали известны данные о наличии уже существующих атак на серверы, но как сильно этот метод распространен среди хакеров пока сказать сложно. Временно корпорация предлагает в качестве решения ограничить длину HTTP-запросов, обрабатываемых сервером.