sábado, 31 de diciembre de 2011

'Una vulnerabilidad podría permitir dejar sin servicio a la mayoría de servicios web'

[Hispasec 30/12] 'Una vulnerabilidad que afecta a la gran mayoría de las plataformas de servicios web actuales podría permitir la realización de ataques de denegación de servicio.'


'El problema afecta a una larga lista de tecnologías de desarrollo web,  incluyendo PHP, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache  Geronimo, Jetty o Glassfish. Concretamente versiones:




* Microsoft .NET Framework 1.x, 2.x, 3.x, y 4.x (CVE-2011-3414)
* PHP 5.3.x (CVE-2011-4885)
* Ruby 1.8.x (CVE-2011-4815)
* Rubinius 1.x
* Rack 1.x (CVE-2011-5036)
* Oracle GlassFish Server 3.x (CVE-2011-5035)
* Apache Tomcat 5.x, 6.x, y 7.x (CVE-2011-4084)
* Apache Geronimo 2.x (CVE-2011-5034)
* Google V8 (CVE-2011-5037)
* Jetty 6.x, y 7.x (CVE-2011-4461)
* Plone 4.x (CVE-2011-4462)
* JRuby 1.x (CVE-2011-4838)

Básicamente es más fácil decir a los lenguajes que no afecta: Perl y CRuby 1.9.

 La base de la vulnerabilidad reside en que prácticamente todos los  lenguajes almacenan en tablas hash los valores de los parámetros de las  peticiones web.' [...]

'Para tener una idea del alcance problema, en un sistema con Intel Core i7 sobre una aplicación PHP, bastarían 500k de datos POST para ocupar un minuto de tiempo de cálculo de CPU. De tal forma que bastaría con una conexión de entre 70 a 100 kbits/s para mantener ocupada una CPU de este  tipo.

Los principales lenguajes ya han publicado actualizaciones y parches que  corrigen esta vulnerabilidad, que pueden ser descargadas desde la página oficial de cada uno de ellos.'

Fuente y noticia completa: Una al día de Hispasec 30/12/2011

No hay comentarios: