微软今天发布一个紧急带外更新,以解决可能使攻击者利用哈希碰撞攻击技术进行拒绝服务攻击的严重漏洞。
该漏洞于本周三在黑客华山论剑大会(Chaos Communications Congress)上被研究人员证实,它存在于各种流行的网络编程语言中,包括ASP.NET,JAVA,PHP,Ruby和Apache。研究人员Alexander Klink和Julian W?lde表示,那些编程语言背后的工具包正努力关闭哈希表的弱点,以防止网络犯罪分子利用它进行攻击。
在安全公告中,微软正在敦促网站开发人员考虑实施一种变通方法,阻止潜在的散列碰撞攻击,直到补丁发布。
“该漏洞的存在是由ASP.NET形式中的ASP.NET进程值造成的,”微软说道,“攻击者很有可能向ASP.NET服务器发送少量特制的内容,从而导致性能显著下降,达到拒绝服务的条件。微软知道利用该漏洞的公开提供的详细信息,但不知道任何主动攻击。”
研究人员发出协调通知文件(coordinated notification paper),向供应商阐述多碰撞哈希表(PDF文档)的问题。在这份文件里,他们说该漏洞自2003年就被知道了,并影响Pearl和cRuby开发人员改变他们的哈希函数,包括随机,阻止该问题。
“如果语言没有提供随机哈希函数,或应用服务器无法辨识使用多碰撞的攻击 ,那么攻击者就可以通过发送大量碰撞键(colliding keys),使哈希表退化(变质),”在他们的论文中,两位研究人员这样说道。
根据文件,这些漏洞影响Web服务器运行Microsoft ASP.NET Web应用程序。研究人员表示,一个拥有高带宽连接的黑客可以冻结成千上万的电脑,使企业电脑瘫痪。
美国计算机应急准备小组(The United States Computer Emergency Readiness Team,USCERT)周三发布了一个公告,警告哈希碰撞攻击可能引起拒绝服务。
“攻击者使用HTTP POST协议向服务器提交变量,服务器会自动跟踪变量。通过提交成千上万特别选择的名称变量,导致用来存储变量的哈希表发送名称冲突,服务器的CPU保持活跃,”漏洞管理厂商Qualys的Wolfgang Kandek在博客中这样写道。“这种攻击机制简单而讲究,导致服务器要花费数分钟或数小时来处理一个单个的HTTP请求。”
原文出处:http://searchsecurity.techtarget.com/news/2240113146/Microsoft-emergency-update-to-address-hash-collision-attacks
