(Bilde: digi.no)

Sårbarhet rammer svært bredt

Kan slå ut servere med ASP.NET, Java, Python og PHP.

Det amerikanske sikkerhetsorganet US-CERT og Open Source Computer Emergency Response Team (oCERT), som koordinerer håndteringen av trusler mot henholdsvis kritisk infrastruktur og åpen kildekode-prosjekter, varsler begge om en sikkerhetsbrist som rammer svært bredt.

En rekke programmeringsspråk er sårbare ved lagring av data i hashtabeller, grunnet mangelfull håndtering av såkalte nøkkelkollisjoner.

Det advares mot spesielt utformede HTTP-kall mot webapplikasjoner, som i praksis vil fungere som rene tjenestenektangrep.

Alle versjoner av Java, Python, ASP.NET, Javascript-motoren V8, PHP4/5 og ulike utgaver av Apache Tomcat, Oracle Glassfish, JRuby og Ruby er blant noen av plattformene som er berørt. Microsoft har utgitt en egen sikkerhetsbulletin.

- Dette kan lede til 100 prosents prosessorbelastning som kan vare i flere timer, avhengig av den målrettede applikasjonen og serverytelsen. Effekten lar seg forsterke (med flere kall) og krever lite tid og båndbredde fra angriperens side, heter det i beskrivelsen av sårbarheten.

- Én enkelt HTTP-spørring kan være nok til å effektivt strupe all prosessorkapasitet på en webserver, og selv en klynge av servere kan rammes, ifølge Microsoft.

Ifølge oCERT skal sårbarheten være nær identisk med en Perl-sårbarhet fra 2003, som er nærmere beskrevet i rapporten Denial of Service via Algorithmic Complexity Attacks (pdf, 16 sider).

Det langt bredere trusselbildet ble offentlig kjent denne uken, etter dette foredraget på den årlige samlingen til hackergruppen Chaos Computer Club i Berlin. Hash-angrepet er også nærmere beskrevet på bloggen Cryptoanalysis.eu.

Systemleverandørene skal ha blitt informert om sårbarheten i forkant av kunngjøringen. Situasjonen krever at de snarest må komme med en feilfiks.

- Vi jobber med saken. Å endre på kjernen av hashfunksjonen i PHP er ingen triviell oppgave. Dette vil ta tid, heter det i en uttalelse fra PHP-oppfinner Rasmus Lerdorf, som er gjengitt i lysbildene fra foredraget onsdag.

Så langt ser mange ut til å ha svart på trusselen ved å foreslå endringer i konfigurasjonen som begrenser lengden på inndata mot serveren via HTTP. Dette er tilfelle med blant annet ASP.NET og PHP.

Oppdatert:

Microsoft har nå gitt ut en ekstraordinær sikkerhetsoppdatering mot sårbarheten, samt ytterligere tre ikke oppgitte trusler. Oppdateringen blir beskrevet som kritisk. Feilfiksen vil i de fleste tilfeller rulles ut automatisk.

    Les også:

Til toppen