Servers makkelijk plat door uitgelokte 'hash collisions'

Alexander Klink en Julian Walde maakten hun ontdekking afgelopen woensdag openbaar op het 28ste Chaos Communication Congress (28C3), deze week in Berlijn gehouden. Het probleem zit in de manier waarop de programmeertalen omgaan met hashtabellen, een datastructuur voor het snel opslaan en opvragen van informatie via sleutels die corresponderen met waarden.

Uitlokken van hash collisions

Tenzij een programmeertaal de hash-functie willekeurig uitvoert of identieke sleutels, de zogeheten 'hash collisions', weet te voorkomen, kunnen aanvallers berekenen welke data een groot aantal 'hash collisions' veroorzaken. Door die data als een eenvoudig HTTP-request naar de server te sturen, geeft deze een denial-of-service. Omdat elke 'botsing' rekenkracht van de server vraagt, kunnen meerdere kleine datapakketjes alle rekenkracht van de server in beslag nemen, waardoor deze offline gaat.

Microsoft snel met patch

Microsoft kwam gisteren met een 'emergency update' MS11-100, waarin deze en drie andere bugs in ASP.Net worden gerepareerd. Microsoft bevestigde dat een speciaal gemaakt HTTP-request van 100K dat naar een ASP.Net-server wordt gestuurd, de gehele rekencapaciteit van een CPU kern voor 90 tot 110 seconden kan consumeren.

Geen botnet nodig

Klink en Walde schatten in dat pakketjes van 6K alle capaciteit van een éénkernige processor van een Javaserver kunnen opslorpen. Dat is funest voor de sites en webapps op die server. "Een aanvaller kan met heel weinig middelen een site uit de lucht halen", zei Andrew Storms van nCircle Security tegen Computerworld. "Geen botnet nodig."