[an error occurred while processing the directive]
a16af306

В языках программирования обнаружены солидные уязвимости

Java На проходящей на днях в Германии Chaos Communication Congress свободные эксперты по справочной безопасности продемонстрировали ряд солидных уязвимостей в распространенных языках веб-программирования. Абсолютное большинство уязвимостей сопряжены с неправильной обработкой веб-форм и вероятностью компрометации хэш-таблиц, что может спровоцировать DOS-атаки на веб-серверы с следующим хищением данных.

Среди ранимых кругов специалисты называют Html, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache Geronimo, Jetty и Glassfish, и открытый JavaScript-движок изготовления Google V8. В Майкрософт назвали факт уязвимости в ASP.NET и рассказали о том, что работают над корректированием, иные вендоры также сообщили, что исследуют утверждения, прозвучавшие на Chaos ComCon и готовят аналогичные патчи.

ИТ-исследователи Александр Клинк и Джулиан Вельде поясняют, что абсолютное большинство атак основываются на концепциях, в первый раз появившихся еще в 2003 году и ставших с того времени объектом большой работы. Тогда на пресс-конференции Usenix были представлены эксплоиты для языка Perl, но с того времени эти же концепции, сопряженные с развитием хэш-инструкций и таблиц, эксплуатируются с разной ступенью периодичности.

Так, языки Html 5, Java и ASP.NET, и двигатель V8 целиком беспомощны перед атаками такого рода. Языки Html 4, Python, Ruby считаются отчасти ранимыми, причем тут степень уязвимости находится в зависимости от того, применяется ли 32- либо 64-битная архитектура. Вельде говорит, что абсолютное большинство серверных интерпретаторов языков программирования имеют непосредственной доступ к вычисляемым источникам компьютера, например к ЦПУ. В случае образования умышленного запроса хакеры могут на 100% скачать микропроцессор компьютера и сделать недосягаемым компьютер на 5 минут либо часов. Очень многие атаки приводят к тому, что всего 1 HTTP-запрос целиком грузит компьютер.

«Хэш-таблицы — это стандартные конструкции данных, используемые во всех языках программирования. Веб-приложения либо целые веб-платформы довольно часто обрабатывают Post-данные, передаваемые злодеями, в автоматическом режиме. В случае если компьютер не предлагает случайные хэш-функции, то доступ к ним можно производить разными методами, а компьютер не распознает злостные требования, которые способны значительно скачать среду выполнения и нападающий может формировать солидные циклические атаки», — говорит Вельде.

Согласно его заявлению, некоторые из атак, о которых говорят на Chaos ComCon раньше были презентованы создателями софта и Apache, и бригада создателей Ruby поправила абсолютное большинство объявленных неприятностей. В то же самое время, продукты Html, Oracle, Python, Google и Майкрософт до сих пор чувствительны.

Так, компания Майкрософт передала предостережение о присутствии располагающейся в работе у взломщиков уязвимости в среде ASP.NET. По известию компании, слабость есть в подсистеме, соответствующей за обработку фигур Post в ASP.NET. В итоге уязвимости хакеры могут пробудить коллизию хэш-значений и провести DOS-атаку на целевой компьютер, где запущена эта среда.

В Майкрософт рассказывают, что нападающий может сконструировать особый HTTP-запрос, имеющий внушительные значения данных, передаваемых в фигуру Post для предстоящей обработки со стороны ASP.NET. Это значение в конечном итоге съест все свободные источники главного микропроцессора компьютера. Также организация выделяет, что данной уязвимости не подвергаются компьютеры, обслуживающие неподвижные страницы.

«Веб-сайты, которые очевидно запрещают исполнение текста application/x-www-form-urlencoded либо multipart/form-data HTTP, не подвергаются данным атакам», — сообщили в Майкрософт.

В компании рассказывают, что им обнародованы данные о присутствии существующих атак на компьютеры, однако как значительно данный способ распространен среди взломщиков пока сообщить трудно. На время компания предлагает в роли решения ограничить ширину HTTP-запросов, обрабатываемых компьютером.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

[an error occurred while processing the directive]