В публичном доступе появился эксплоит к DoS-уязвимости в ASP.NET

Уязвимость в ASP.NET позволяет совершить DoS-атаку с помощью специально сформированного HTTP POST запроса.

В репозитории GitHub появился код эксплоита к уязвимости отказа в обслуживании в ASP.NET, информация о которой стала публично известной в ходе конгресса Chaos Communication, прошедшего в Берлине в конце прошлого года. Корпорация Microsoft всего на протяжении месяца выпустила исправление для платформы .Net, устраняющее эту уязвимость.

«Бюллетень устраняет вектор DoS-атаки путем установки ограничения количества переменных, которые могут быть использованны в одном HTTP POST запросе, - прокомментировал уведомление безопасности от Microsoft технический директор Qualys Вольфганг Кандек (Wolfgang Kandek). - По умолчанию лимит равен 500, чего должно быть более чем достаточно для обычных web-приложений, более того, это значение является достаточно низким для нейтрализации атаки, описанной немецкими исследователями безопасности».

Существование PoC кода было подтверждено несколько дней назад в почтовой рассылке Full Disclosure, после чего он стал доступен на GitHub.

Напомним, что уязвимость распространяется на платформы и языки программирования многих поставщиков - PHP, Oracle, Phython, Ruby и пр.

С полным перечнем приложений, подверженных уязвимости, можно ознакомиться по адресу:
hххp://www.securitylab.ru/vulnerability/reports/413118.php

Подробнее: hххp://www.securitylab.ru/news/413274.php