Hash collision kwetsbaarheid gevonden in website ontwikkel platformen

Microsoft heeft bekend gemaakt dat er een kwetsbaarheid is gevonden in ASP.NET waarbij het mogelijk is om een denial of service aanval uit te voeren. Ook andere ontwikkel-raamwerken zijn kwetsbaar.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.13 #############################

Titel           : Hash collision kwetsbaarheid gevonden in website
                  ontwikkel platformen
Advisory ID     : NCSC-2012-0001
Versie          : 1.13
Kans            : high
CVE ID          : CVE-2011-3414, CVE-2011-3415, CVE-2011-3416,
                  CVE-2011-3417, CVE-2011-4461, CVE-2011-4462,
                  CVE-2011-4566, CVE-2011-4815, CVE-2011-4838,
                  CVE-2011-4885, CVE-2012-0830
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial of Service (DoS)
                  Omzeilen van authenticatie
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Gebruikersrechten)
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20120203
Toepassing      : Apache Software Foundation Geronimo
                  Apache Software Foundation Tomcat
                  Microsoft ASP.NET
                  Microsoft IIS
                  Morbtay Jetty
                  Oracle GlassFish Server
                  Oracle OpenJDK
                  PHP
                  Python
                  Ruby
                  Sun JDK
Versie(s)       : Java, alle versies
                  JRuby <= 1.6.5
                  PHP <= 5.3.8, <= 5.4.0RC3
                  Python, alle versies
                  Rubinius, alle versies
                  Ruby <= 1.8.7-p356
                  Apache Geronimo, alle versies
                  Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
                  Oracle Glassfish <= 3.1.1
                  Jetty, alle versies
                  Plone, alle versies
                  Rack, alle versies
                  V8 JavaScript Engine, alle versies
Platform(s)     : Apple Mac OS X
                  CentOS
                  Debian
                  Fedoraproject Fedora
                  Fedoraproject Fedora Core
                  FreeBSD
                  Linux
                  Microsoft Windows
                  Novell Opensuse
                  Novell Suse linux
                  RedHat Enterprise Linux
                  SuSE Linux
                  SuSE Linux Enterprise Desktop
                  SuSE OpenSuSE
                  UNIX

Update
   Met het verhelpen van de hash collision kwetsbaarheid heeft PHP een
   nieuwe (ernstigere) kwetsbaarheid veroorzaakt. Deze kwetsbaarheid
   (CVE-2012-0830) maakt het mogelijk om vanaf afstand willekeurige
   code uit te voeren. PHP heeft versie 5.3.10 beschikbaar gesteld om
   de kwetsbaarheid te verhelpen. Het NCSC raadt aan met spoed te
   upgraden naar 5.3.10. Zie voor meer informatie de paragraaf
   "Mogelijke oplossingen".

Samenvatting
   Microsoft heeft bekend gemaakt dat er een kwetsbaarheid is gevonden
   in ASP.NET waarbij het mogelijk is om een denial of service aanval
   uit te voeren.
   
   Ook andere ontwikkel-raamwerken zijn kwetsbaar.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om een  
   Denial of Service (DoS) aanval uit te voeren. Misbruik kan ertoe
   leiden dat de kwetsbare component te veel processorkracht opeist,
   waardoor legitieme verzoeken niet meer kunnen worden afgehandeld.

Beschrijving
   - CVE-2011-3414
   Microsoft heeft bekend gemaakt dat ASP.NET vatbaar is voor een
   hash-collision-kwetsbaarheid. Hierbij kan een kwaadwillende, door
   een klein aantal speciaal gefabriceerde HTTP requests te sturen, de
   performance van de server dusdanig verslechteren, dat er sprake is
   van een DoS.
   
   De kwetsbaarheid is gevonden in alle versies van .NET, zowel op
   desktops als op servers. Echter, alleen op webservers is de
   kwetsbaarheid uit te buiten en alleen als de
   application/x-www-form-urlencoded en/of multipart/form-data HTTP
   headers geaccepteerd worden.
   
   Meer informatie over de kwetsbaarheid in verschillende
   programmeertalen is te vinden op de Full Disclosure mailing list
   website:
   http://seclists.org/fulldisclosure/2011/Dec/477
      
   Op YouTube is een video te zien waarin de kwetsbaarheid door de
   onderzoekers wordt beschreven:
   http://www.youtube.com/watch?v=_EEhviEO1Vo
      
   Microsoft heeft detectiemaatregelen beschreven op haar blog:
   http://blogs.technet.com/b/srd/archive/2011/12/27
      /more-information-about-the-december-2011-asp-net-vulnerability.a
      spx
   
   Er is exploitcode uitgebracht, waarmee de kwetsbaarheid kan worden
   uitgebuit op websites die zijn gebouwd in ASP en PHP. Deze advisory
   is hierdoor High/High.
   
   Microsoft heeft updates beschikbaar gesteld waarin meerdere
   kwetsbaarheden in ASP.NET verholpen worden. In deze update worden,
   naast de beschreven hash-collision DoS, de volgende kwetsbaarheden
   verholpen:
   
   - CVE-2011-3415
   Een kwetsbaarheid in de Forms Authentication functie in ASP.NET.
   Kwaadwillenden kunnen deze kwetsbaarheid misbruiken om gebruikers
   om te leiden naar willekeurige websites. Standaard staat deze
   functie niet aan in ASP.NET, maar moet dit expliciet per applicatie
   worden ingeschakeld.
   
   - CVE-2011-3416 
   Als een kwaadwillende een account kan registreren binnen een
   ASP.NET applicatie, en hij een valide accountnaam weet, kan hij een
   kwetsbaarheid in de Forms Authentication functie misbruiken om
   willekeurige commando's binnen ASP.NET uit te voeren. Standaard
   staat de Forms Authentication functie niet aan in ASP.NET, maar
   moet dit expliciet per applicatie worden ingeschakeld.
   
   - CVE-2011-3417
   Een kwetsbaarheid in de caching van de Forms Authentication functie
   kan door een kwaadwillende worden misbruikt om willekeurige code
   uit te voeren. Standaard staat output caching uit en is het niet
   mogelijk om deze kwetsbaarheid te misbruiken.

Mogelijke oplossingen
   -= Apache Tomcat =-
   Tomcat versies later dan 5.5.35, 6.0.35 of 7.0.23 zijn niet
   kwetsbaar voor dit lek.
   http://secunia.com/advisories/47411/
   
   -= CentOS =-
   CentOS heeft updates uitgebracht voor CentOS 4 5 en 6 om de
   kwetsbaarheden te verhelpen. U kunt de updates installeren door
   gebruik te maken van up2date of yum. Voor meer informatie en een
   eventueel handmatige installatie, zie:
   
   http://permalink.gmane.org/gmane.linux.centos.announce/6370
   http://permalink.gmane.org/gmane.linux.centos.announce/6371
   
   Update 31-1-2012: CentOS heeft updates uitgebracht voor Ruby en
   PHP. Voor meer informatie en een eventueel handmatige installatie,
   zie:
   
   http://permalink.gmane.org/gmane.linux.centos.announce/6399
   http://permalink.gmane.org/gmane.linux.centos.announce/6392
   http://permalink.gmane.org/gmane.linux.centos.announce/6398
   http://lists.centos.org/pipermail/centos-announce/2012-January
      /018402.html
   
   -= Debian =-
   Debian heeft updates van php beschikbaar gesteld voor Debian 5.0
   (lenny), Debian 6.0 (squeeze) om de kwetsbaarheden te verhelpen. U
   kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u
   vinden op onderstaande pagina:
   
   http://lists.debian.org/debian-security-announce/2012/msg00023.html
   
   -= Fedora =-
   * Ruby: Fedora heeft updates beschikbaar gemaakt voor Ruby voor
   Fedora 15, 16. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventuele handmatige installatie vindt u op:
   
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71380
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71375
   
   Fedora heeft tevens updates uitgebracht voor het package
   rubygem-rack. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71637
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71649
   
   * PHP 
   Fedora heeft een update uitgebracht voor PHP op versie 15 en 16 van
   het besturingssysteem. 
   
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71765
   
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/72075
   
   -= FreeBSD =-
   FreeBSD heeft updates uitgebracht om de kwetsbaarheid te verhelpen
   in PHP. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   http://www.freebsd.org/ports/portaudit
      /d3921810-3c80-11e1-97e8-00215c6a37bb.html
   
   FreeBSD heeft tevens de packages: jruby, ruby, rubygem-rack, v8 en
   node geupdate, om de kwetsbaarheden te verhelpen. Meer informatie
   over deze updates en over een eventueel handmatige installatie
   vindt u op:
   
   http://www.freebsd.org/ports/portaudit
      /91be81e7-3fea-11e1-afc7-2c4138874f7d.html
   
   -= Microsoft =-
   Microsoft heeft updates beschikbaar gesteld waarmee de
   kwetsbaarheden worden verholpen. We raden u aan om deze updates te
   installeren. Meer informatie over de kwetsbaarheden, de installatie
   van de updates en eventuele workarounds vindt u op:
   http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
   
   -= PHP =-
   PHP heeft de kwetsbaarheden (update 3 februari 2012: incorrect)
   verholpen in PHP 5.3.9. Het PHP-team heeft Windows-binaries en
   aangepaste broncode beschikbaar gesteld via:
   http://www.php.net/index.php#id2012-01-11-1
   
   UPDATE 3 februari 2012:
   Met het verhelpen van de hash collision kwetsbaarheid heeft PHP een
   nieuwe (ernstigere) kwetsbaarheid veroorzaakt. Deze kwetsbaarheid
   (CVE-2012-0830) maakt het mogelijk om vanaf afstand willekeurige
   code uit te voeren. PHP heeft versie 5.3.10 beschikbaar gesteld om
   de kwetsbaarheid te verhelpen. Het NCSC raadt aan met spoed te
   upgraden naar 5.3.10. Zie voor meer informatie:
   http://www.php.net/archive/2012.php#id2012-02-02-1
   http://isc.sans.org/diary/Critical+PHP+bug+patched/12520
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gemaakt voor Red Hat 5, 6. U kunt
   deze updates installeren met behulp van het commando 'up2date' of
   'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2012-0019.html
   
   Update 31-1-2012: Red Hat heeft updates uitgebracht voor Ruby en
   PHP. Voor meer informatie en een eventueel handmatige installatie,
   zie:
   
   http://rhn.redhat.com/errata/RHSA-2012-0069.html
   http://rhn.redhat.com/errata/RHSA-2012-0070.html
   http://rhn.redhat.com/errata/RHSA-2012-0071.html
   
   -= Ruby =-
   In Ruby 1.8 wordt deze kwetsbaarheid verholpen in versie
   1.8.7-p357. Ruby 1.9 bevat deze kwetsbaarheid niet. Zie voor meer
   informatie:
   http://www.ruby-lang.org/en/news/2011/12/28
      /denial-of-service-attack-was-found-for-rubys-hash-algorithm/
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gemaakt om de kwetsbaarheid te
   verhelpen in SUSE 11. U kunt deze aangepaste packages
   installeren door gebruik te maken van 'YaST'. U kunt het package
   ook handmatig downloaden van de SUSE FTP-server (ftp.suse.com).
   Voor meer informatie, zie:
     
   http://lists.opensuse.org/opensuse-updates/2012-01/msg00038.html   

Hyperlinks
   http://www.youtube.com/watch?v=_EEhviEO1Vo
   http://www.nruns.com/_downloads/advisory28122011.pdf
   http://technet.microsoft.com/en-us/security/advisory/2659883
   http://www.ocert.org/advisories/ocert-2011-003.html
   http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
   http://seclists.org/fulldisclosure/2011/Dec/477
   http://cryptanalysis.eu/blog/2011/12/28
      /effective-dos-attacks-against-web-application-plattforms-hashdos/
   http://blogs.technet.com/b/msrc/archive/2011/12/28
      /microsoft-releases-security-advisory-2659883-offers-workaround-f
      or-industry-wide-issue.aspx
   http://www.php.net/archive/2012.php#id2012-02-02-1
   http://isc.sans.org/diary/Critical+PHP+bug+patched/12520

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 10.1.1 (Build 10)
Charset: utf-8

wlcDBQFPK6kSQ+C/3OQykckRCKOyAP91INjZlmFw3xw0Pm65XNUhNGzyX4AWNs++
OIyvSfb+kgD9FmbpA6P4apP6URQ0Ja7nK8xZrfdx4aMBv7UfbAXf5Js=
=qxXG
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig