[u-help]

В репозитории GitHub появился эксплоит уязвимости отказа в обслуживании в ASP.NET, информация о которой стала публично известной в ходе Chaos Communication, прошедшего в Берлине в конце 2011 года. Корпорация Microsoft всего на протяжении месяца выпустила исправление для платформы .Net, устраняющее эту уязвимость. Уязвимость распространяется на платформы и языки программирования многих поставщиков - PHP, Oracle, Phython, Ruby и пр.

«Бюллетень устраняет вектор DoS-атаки путем установки ограничения количества переменных, которые могут быть использованны в одном HTTP POST запросе, - прокомментировал уведомление безопасности от Microsoft технический директор Qualys Вольфганг Кандек (Wolfgang Kandek). - По умолчанию лимит равен 500, чего должно быть более чем достаточно для обычных web-приложений, более того, это значение является достаточно низким для нейтрализации атаки, описанной немецкими исследователями безопасности».

Существование PoC кода было подтверждено несколько дней назад в почтовой рассылке Full Disclosure, после чего он стал доступен на GitHub.

ASP.NET HashDoS PoC/exploit payload for uc(X33X)