Hash collision kwetsbaarheid gevonden in website ontwikkel platformen

Microsoft heeft bekend gemaakt dat er een kwetsbaarheid is gevonden in ASP.NET waarbij het mogelijk is om een denial of service aanval uit te voeren. Ook andere ontwikkel-raamwerken zijn kwetsbaar.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.04 #############################

Titel           : Hash collision kwetsbaarheid gevonden in website
                  ontwikkel platformen
Advisory ID     : NCSC-2012-0001
Versie          : 1.04
Kans            : high
CVE ID          : CVE-2011-3414, CVE-2011-3415, CVE-2011-3416,
                  CVE-2011-3417, CVE-2011-4461, CVE-2011-4462,
                  CVE-2011-4815, CVE-2011-4838, CVE-2011-4885
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial of Service (DoS)
                  Omzeilen van authenticatie
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Gebruikersrechten)
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20120111
Toepassing      : Apache Software Foundation Geronimo
                  Apache Software Foundation Tomcat
                  Microsoft ASP.NET
                  Microsoft IIS
                  Morbtay Jetty
                  Oracle GlassFish Server
                  Oracle OpenJDK
                  PHP
                  Python
                  Ruby
                  Sun JDK
Versie(s)       : Java, alle versies
                  JRuby <= 1.6.5
                  PHP <= 5.3.8, <= 5.4.0RC3
                  Python, alle versies
                  Rubinius, alle versies
                  Ruby <= 1.8.7-p356
                  Apache Geronimo, alle versies
                  Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
                  Oracle Glassfish <= 3.1.1
                  Jetty, alle versies
                  Plone, alle versies
                  Rack, alle versies
                  V8 JavaScript Engine, alle versies
Platform(s)     : Apple Mac OS X
                  Fedoraproject Fedora
                  Fedoraproject Fedora Core
                  Linux
                  Microsoft Windows
                  UNIX

Update
   Fedora heeft een update uitgebracht voor het ruby package in Fedora
   15 en 16. Zie "Mogelijke oplossingen" voor meer informatie. 

Samenvatting
   Microsoft heeft bekend gemaakt dat er een kwetsbaarheid is gevonden
   in ASP.NET waarbij het mogelijk is om een denial of service aanval
   uit te voeren.
   
   Ook andere ontwikkel-raamwerken zijn kwetsbaar.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om een  
   Denial of Service (DoS) aanval uit te voeren. Misbruik kan ertoe
   leiden dat de kwetsbare component te veel processorkracht opeist,
   waardoor legitieme verzoeken niet meer kunnen worden afgehandeld.

Beschrijving
   - CVE-2011-3414
   Microsoft heeft bekend gemaakt dat ASP.NET vatbaar is voor een
   hash-collision-kwetsbaarheid. Hierbij kan een kwaadwillende, door
   een klein aantal speciaal gefabriceerde HTTP requests te sturen, de
   performance van de server dusdanig verslechteren, dat er sprake is
   van een DoS.
   
   De kwetsbaarheid is gevonden in alle versies van .NET, zowel op
   desktops als op servers. Echter, alleen op webservers is de
   kwetsbaarheid uit te buiten en alleen als de
   application/x-www-form-urlencoded en/of multipart/form-data HTTP
   headers geaccepteerd worden.
   
   Meer informatie over de kwetsbaarheid in verschillende
   programmeertalen is te vinden op de Full Disclosure mailing list
   website:
   http://seclists.org/fulldisclosure/2011/Dec/477
      
   Op YouTube is een video te zien waarin de kwetsbaarheid door de
   onderzoekers wordt beschreven:
   http://www.youtube.com/watch?v=_EEhviEO1Vo
      
   Microsoft heeft detectiemaatregelen beschreven op haar blog:
   http://blogs.technet.com/b/srd/archive/2011/12/27
      /more-information-about-the-december-2011-asp-net-vulnerability.a
      spx
   
   Er is exploitcode uitgebracht, waarmee de kwetsbaarheid kan worden
   uitgebuit op websites die zijn gebouwd in PHP. De kans op
   uitbuiting wordt hierdoor verhoogd. Deze advisory wordt hierdoor
   High/High.
   
   Microsoft heeft updates beschikbaar gesteld waarin meerdere
   kwetsbaarheden in ASP.NET verholpen worden. In deze update worden,
   naast de beschreven hash-collision DoS, de volgende kwetsbaarheden
   verholpen:
   
   - CVE-2011-3415
   Een kwetsbaarheid in de Forms Authentication functie in ASP.NET.
   Kwaadwillenden kunnen deze kwetsbaarheid misbruiken om gebruikers
   om te leiden naar willekeurige websites. Standaard staat deze
   functie niet aan in ASP.NET, maar moet dit expliciet per applicatie
   worden ingeschakeld.
   
   - CVE-2011-3416 
   Als een kwaadwillende een account kan registreren binnen een
   ASP.NET applicatie, en hij een valide accountnaam weet, kan hij een
   kwetsbaarheid in de Forms Authentication functie misbruiken om
   willekeurige commando's binnen ASP.NET uit te voeren. Standaard
   staat de Forms Authentication functie niet aan in ASP.NET, maar
   moet dit expliciet per applicatie worden ingeschakeld.
   
   - CVE-2011-3417
   Een kwetsbaarheid in de caching van de Forms Authentication functie
   kan door een kwaadwillende worden misbruikt om willekeurige code
   uit te voeren. Standaard staat output caching uit en is het niet
   mogelijk om deze kwetsbaarheid te misbruiken.

Mogelijke oplossingen
   -= Fedora =-
   Fedora heeft updates beschikbaar gemaakt voor Fedora 15, 16. U kunt
   deze updates installeren met behulp van het commando 'yum'. Meer
   informatie over deze updates en over een eventuele handmatige
   installatie vindt u op:
   
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71380
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71375
   
   -= Apache Tomcat =-
   Tomcat versies later dan 5.5.35, 6.0.35 of 7.0.23 zijn niet
   kwetsbaar voor dit lek.
   http://secunia.com/advisories/47411/
   
   -= Microsoft =-
   Microsoft heeft updates beschikbaar gesteld waarmee de
   kwetsbaarheden worden verholpen. We raden u aan om deze updates te
   installeren. Meer informatie over de kwetsbaarheden, de installatie
   van de updates en eventuele workarounds vindt u op:
   http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
   
   -= PHP =-
   PHP heeft een workaround uitgebracht, die alleen als Release
   Candidate beschikbaar is via de PHP SVN repository. De workaround
   maakt gebruik van de nieuw toegevoegde max_input_vars directive. 
   http://svn.php.net/viewvc?view=revision&revision=321040
   
   -= Ruby =-
   In Ruby 1.8 wordt deze kwetsbaarheid verholpen in versie
   1.8.7-p357. Ruby 1.9 bevat deze kwetsbaarheid niet. Zie voor meer
   informatie:
   http://www.ruby-lang.org/en/news/2011/12/28
      /denial-of-service-attack-was-found-for-rubys-hash-algorithm/

Hyperlinks
   http://www.youtube.com/watch?v=_EEhviEO1Vo
   http://www.nruns.com/_downloads/advisory28122011.pdf
   http://technet.microsoft.com/en-us/security/advisory/2659883
   http://www.ocert.org/advisories/ocert-2011-003.html
   http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
   http://seclists.org/fulldisclosure/2011/Dec/477
   http://cryptanalysis.eu/blog/2011/12/28
      /effective-dos-attacks-against-web-application-plattforms-hashdos/
   http://blogs.technet.com/b/msrc/archive/2011/12/28
      /microsoft-releases-security-advisory-2659883-offers-workaround-f
      or-industry-wide-issue.aspx

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 10.1.1 (Build 10)
Charset: utf-8

wlcDBQFPDaglQ+C/3OQykckRCOnjAP9LI70t+TueT1G83JnKk6Ox/GCYa6rgXrip
k7CXyZGBKAD+Kf2uFB4xHk4KFKPlo68aT3LwTJh6ali3sNoxPnWgPr8=
=hW2u
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2019

Nederland digitaal veilig