Hacker dipersenjatai dengan mesin tunggal dan koneksi broadband yang minimal dapat melumpuhkan server Web, kata para peneliti Rabu. Microsoft hari ini dikirimkan update darurat untuk memperbaiki cacat.

Hacker dipersenjatai dengan mesin tunggal dan koneksi broadband yang minimal dapat melumpuhkan server Web, peneliti diungkapkan Rabu, menempatkan website dan aplikasi web tak terhitung berisiko dari penyangkalan-of-service serangan.

Dalam sebuah penasehat keamanan yang dikeluarkan pada hari yang sama, Microsoft, yang ASP. Bahasa pemrograman Bersih adalah salah satu dari beberapa yang terkena cacat, berjanji untuk patch kerentanan dan menawarkan cara-cara pelanggan untuk melindungi server mereka sampai rilis update.

Dalam pesan tindak lanjut, Microsoft mengumumkan pengiriman sebuah "out-of-band," atau memperbarui darurat hari ini. Pembaruan dirilis pada 01:00 ET. Ditunjuk MS11-100, itu juga tetap tiga bug lainnya di ASP Net,. Salah satu tag "kritis." Tak satu pun dari ketiga telah diungkapkan secara terbuka sebelum hari ini.

Masalah yang menyebabkan kegemparan di komunitas keamanan ada di banyak aplikasi Web yang paling populer dan bahasa pemrograman situs, termasuk ASP. Bersih, open-source PHP dan Ruby, Oracle Java dan Google V8 JavaScript, menurut dua peneliti Jerman, Alexander Klink dan Julian Walde.


Klink dan Walde, yang mempresentasikan temuan mereka pada konferensi Komunikasi Chaos Kongres (CCC) di Berlin pada Rabu, ditelusuri cacat untuk bahasa-bahasa '- dan lain-lain' - penanganan tabel hash, struktur pemrograman yang digunakan untuk dengan cepat menyimpan dan mengambil Data.

Kecuali bahasa merandomisasi fungsi hash atau memperhitungkan "tabrakan hash" - ketika beberapa data menghasilkan hash yang sama - penyerang dapat menghitung data yang akan memicu sejumlah besar tabrakan, kemudian mengirim data sebagai permintaan HTTP sederhana. Karena mengunyah setiap tabrakan siklus pemrosesan pada server target, seorang hacker menggunakan paket serangan yang relatif kecil dapat mengkonsumsi semua kekuatan pemrosesan bahkan dilengkapi dengan baik server, efektif mengetuk secara offline.

Microsoft mengkonfirmasi bahwa 100K tunggal khusus dibuat Permintaan HTTP dikirimkan ke server yang menjalankan ASP. Bersih akan mengkonsumsi 100% dari satu inti CPU untuk 90-110 detik.

"Seorang penyerang berpotensi berulang kali menerbitkan permintaan tersebut, menyebabkan kinerja menurun cukup signifikan untuk menyebabkan kondisi penolakan layanan bahkan untuk server multi-core atau kelompok server," insinyur perusahaan Suha Dapatkah dan Jonathan Ness mengatakan dalam posting ke Security Research Pertahanan & blog kemarin.

Klink dan Walde diperkirakan bahwa paket-paket kecil seperti 6K akan terus prosesor single core sibuk pada server Jawa.

Implikasi yang signifikan untuk aplikasi Web dan situs yang berjalan pada server tersebut.

"Seorang penyerang dengan sedikit sumber daya secara efektif dapat mengambil situs yang cukup mudah," kata Andrew Storms, direktur operasi keamanan di nCircle Keamanan, hari ini. "Botnet Tidak diperlukan untuk membuat kekacauan di sini."

Terburu-buru Microsoft untuk patch cacat di ASP. Bersih mengisyaratkan keseriusan bug.

"Microsoft akan menjadi salah satu untuk menonton dan melihat apakah mereka pergi keluar dari band dan jika demikian, kapan," kata Badai Rabu malam, sebelum Microsoft mengumumkan patch yang hari ini. "Jika mereka melakukannya, saya rasa itu akan segera."

Dapat dan Ness dari Microsoft mengatakan bahwa perusahaan "mengantisipasi [s] segera rilis publik dari kode mengeksploitasi," dan mendesak ASP. Pelanggan Bersih untuk menerapkan patch atau workarounds dijelaskan dalam penasihat.

Pengembang bahasa pemrograman lain sudah menawarkan perbaikan untuk software mereka.

Ruby, misalnya, telah mengeluarkan sebuah update yang mencakup fungsi hash baru acak, sedangkan PHP telah dikirimkan kandidat rilis untuk versi 5.4.0.

Beberapa, bagaimanapun, akan mengambil waktu mereka melaksanakan memperbaiki, kata Klink dan Walde. Oracle memberitahu mereka tidak ada yang untuk patch di Jawa itu sendiri, tetapi mengatakan pihaknya akan memperbarui perangkat lunak server GlassFish Java dengan memperbaiki masa depan.

Klink dan Walde dikreditkan sepasang peneliti - Scott Crosby dan Dan Wallach - untuk menguraikan vektor serangan pada tahun 2003, dan bertepuk tangan bahasa pemrograman Perl untuk menambal cacat yang kemudian.

Selama presentasi mereka di CCC, Klink dan Walde dihukum vendor lain untuk tidak menangani masalah tahun lalu.

"Saya harus setuju bahwa kita semua diharapkan vendor telah tetap ini sekarang," kata Badai. "Di sisi lain, ada banyak penelitian di luar sana dan yang tidak selalu mungkin untuk berada di atas segalanya Ini bukan seolah-olah serangan semacam ini telah berlangsung di alam liar sejak tahun 2003 dan semua orang menolak untuk memperbaikinya.."

Klink dan Walde melaporkan penelitian mereka untuk oCERT - Komputer Tim Keamanan Sumber Terbuka Respon Insiden - September lalu. Organisasi kemudian menghubungi berbagai vendor yang bertanggung jawab untuk bahasa terpengaruh.

oCERT mengeluarkan sendiri penasihat Rabu.

Patch hari ini dari Microsoft pertama out-of-band pembaruan selama 2011. Tahun lalu, perusahaan didorong empat update darurat.

Badai, yang telah memuji Microsoft awal bulan ini karena tidak harus pergi out-of-band, mencatat hari ini bahwa ia telah mengeluarkan peringatan bahkan kemudian. "Saya memang mengatakan pada Patch Desember Selasa bahwa mereka memiliki beberapa minggu untuk pergi sebelum tahun berakhir," kata Badai dalam pesan instan.

Microsoft MS11-100 yang disampaikan melalui Windows Update biasa dan Windows Server Update Service (WSUS) saluran.
sumber :http://news.idg.no/cw/art.cfm?id=7076A4AF-C45C-A604-D099CC4F83CA0764

Posted in: Bahasa Inggris