В публичном доступе появился эксплоит к DoS-уязвимости в ASP.NET

В репозитории GitHub появился код эксплоита к уязвимости отказа в обслуживании в ASP.NET, информация о которой стала публично известной в ходе конгресса Chaos Communication, прошедшего в Берлине в конце прошлого года. Корпорация Microsoft всего на протяжении месяца выпустила исправление для платформы .Net, устраняющее эту уязвимость.

«Бюллетень устраняет вектор DoS-атаки путем установки ограничения количества переменных, которые могут быть использованны в одном HTTP POST запросе, - прокомментировал уведомление безопасности от Microsoft технический директор Qualys Вольфганг Кандек (Wolfgang Kandek). - По умолчанию лимит равен 500, чего должно быть более чем достаточно для обычных web-приложений, более того, это значение является достаточно низким для нейтрализации атаки, описанной немецкими исследователями безопасности».

Существование PoC кода было подтверждено несколько дней назад в почтовой рассылке Full Disclosure, после чего он стал доступен на GitHub.

Напомним, что уязвимость распространяется на платформы и языки программирования многих поставщиков - PHP, Oracle, Python, Ruby и пр.

С полным перечнем приложений, подверженных уязвимости, можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/reports/413118.php