研究人员周三表示,黑客只要装备一台电脑和一个最小的宽带连接就能使网络服务器瘫痪。微软今天发布了一个紧急更新来修复这个漏洞。
研究人员周三透露,黑客只要装备一台电脑和最小的宽带连接,就能使网络服务器瘫痪,使数不清楚的网站和网络应用程序面临拒绝服务攻击的风险。
在一个安全咨询微软的ASP . net编程语言是受到该漏洞影响的几种语言之一,它承诺修补该漏洞,并为客户提供保护服务器的方法,直到它发布更新。
在后续消息中,微软宣布将于今天发布“带外”更新,即紧急更新。最新消息于美国东部时间下午1点发布ms11 - 100它还修复了ASP . net中的其他三个bug,其中一个被标记为“critical”。在此之前,这三件事都没有被公开披露。
据两位德国研究人员Alexander Klink和Julian Walde称,在网络安全界引起轰动的问题存在于许多最流行的应用程序和站点编程语言中,包括ASP . net、开源PHP和Ruby、Oracle的Java和谷歌的V8 JavaScript。
周三,Klink和Walde在柏林召开的混沌通信大会(CCC)上公布了他们的发现,他们将这一缺陷归咎于这些语言以及其他语言对哈希表的处理,哈希表是一种用于快速存储和检索数据的编程结构。
除非一种语言随机化哈希函数或考虑“哈希冲突”——当多个数据生成相同的哈希时——攻击者可以计算出将触发大量冲突的数据,然后将该数据作为简单的HTTP请求发送。因为每次碰撞都会破坏目标服务器上的处理周期,黑客使用相对较小的攻击包可能会消耗所有的处理能力,即使是装备良好的服务器,也会有效地使它们脱机。
微软证实,一个100K的特别制作的HTTP请求发送到运行ASP . net的服务器,将消耗100%的CPU核90-110秒。
该公司工程师Suha Can和Jonathan Ness在一篇文章中说:“攻击者可能会重复发出这样的请求,导致性能显著下降,甚至导致多核服务器或服务器集群拒绝服务。安全研究与防御昨天的博客。
Klink和Walde估计,即使是6K这么小的数据包也会让Java服务器上的单核处理器忙个不停。
这对运行在这些服务器上的Web应用程序和网站来说意义重大。
nCircle security的安全运营总监安德鲁·斯道姆今天表示:“一个资源很少的攻击者可以相当容易地有效地摧毁一个网站。”“这里不需要僵尸网络来制造混乱。”
微软急于修补ASP . net中的漏洞,暗示了这个漏洞的严重性。
在微软宣布今天的补丁之前,斯道姆在周三晚上说:“微软将会关注他们是否会退出,以及何时退出。”“如果他们真的这么做了,我觉得很快就会了。”
微软的Can和Ness表示,该公司“预计即将公开的攻击代码”,并敦促ASP . net客户应用该补丁或咨询中描述的解决方案。
其他编程语言开发人员已经为他们的软件提供了补丁。
例如,Ruby已经发布了一个更新它包含一个新的随机散列函数,而PHP提供了一个5.4.0版本的候选发布版.
不过,Klink和Walde表示,有些公司会花些时间来解决这个问题。甲骨文告诉他们,Java本身没有什么需要修补的,但表示将在未来更新GlassFish Java服务器软件。
Klink和Walde赞扬了另一对研究人员——Scott Crosby和Dan Wallach——在2003年概述了攻击向量,并称赞Perl编程语言修补了它的缺陷。
在CCC大会上,Klink和Walde指责其他供应商多年前没有解决这个问题。
“我不得不承认,我们都认为供应商现在已经解决了这个问题,”Storms说。“另一方面,现在有很多研究,不可能总是掌握一切。并不是说这种攻击自2003年以来就一直在进行,每个人都拒绝修复它。”
去年9月,Klink和Walde向oCERT(开源计算机安全事件响应小组)报告了他们的研究。该组织随后联系了负责受影响语言的各个供应商。
oCERT发布了自己的咨询星期三。
微软今天发布的补丁是其2011年第一次带外更新。去年,该公司推出了四项紧急更新。
斯道姆在本月早些时候曾赞扬微软没有超出限制,今天他指出,即使在那时他也发出了警告。斯道姆在一条即时消息中说:“我在周二的12月Patch大会上确实说过,离今年结束还有几周时间。”
微软通过其常用的Windows更新和Windows Server更新服务(WSUS)渠道发布MS11-100。
有关散列冲突缺陷的更多信息可在咨询Klink在其公司网站上公布了这一消息,并在其演示文稿(下载).虽然周三在YouTube上有一段时间可以看到Klink和Walde CCC谈话的视频,但后来这些视频已经从网站上撤下。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇题为“网站、应用程序容易受到低带宽、无机器人攻击,研究人员说”的文章最初发表于《计算机世界》 .