DFN-CERT-2011-1976 Schwachstelle in Microsoft ASP.NET [Windows]

DFN-CERT-2011-1976 Schwachstelle in Microsoft ASP.NET [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft .NET (ASP.NET)

Betroffene Plattformen:

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 fÃŒr Itanium-basierte Systeme
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 fÃŒr 32-bit Systeme Service Pack 2
Windows Server 2008 fÃŒr x64-basierte Systeme Service Pack 2
Windows Server 2008 fÃŒr Itanium-basierte Systeme Service Pack 2
Windows 7 fÃŒr 32-bit Systeme
Windows 7 fÃŒr 32-bit Systeme Service Pack 1
Windows 7 fÃŒr x64-basierte Systeme
Windows 7 fÃŒr x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 fÃŒr x64-basierte Systeme
Windows Server 2008 R2 fÃŒr x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 fÃŒr Itanium-basierte Systeme
Windows Server 2008 R2 fÃŒr Itanium-basierte Systeme Service Pack 1

Eine Schwachstelle im .NET-Framework von Microsoft (ASP.NET) erlaubt einem
entfernten Angreifer einen Denial of Service-Angriff durchzufÃŒhren.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit, deren
Adressen dem Hersteller-Advisory entnommen werden können.

http://www.microsoft.com/technet/security/

CVE-2011-3414: Schwachstelle in Microsoft ASP.NET

Bei der Art wie ASP.net Werte aus Web-Formularen bearbeitet ist es möglich,
dass es zu Kollisionen in Hash-Tabellen kommt. Eine Verkettung dieser
Kollisionen fÃŒhrt dann zu einer kontinuierlichen Verschlechterung der
Performanz. Diese Schwachstelle ist in allen Microsoft .NET-Versionen
enthalten. Einem Angreifer ist es durch das Senden von einigen prÀparierten
POST-Anfragen somit möglich, die Last auf einem Server soweit zu erhöhen,
dass dieser nicht mehr reagiert und kann so einen Denial of Service-Angriff
durchzufÃŒhren. Zur DurchfÃŒhrung ist eine vorherige Authentifizierung nicht
notwendig.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2011-1976/

Das Hersteller Advisory:
http://technet.microsoft.com/en-us/security/advisory/2659883

Schwachstelle CVE-2011-3414:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3414

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben