Beheer

Security

Servers makkelijk plat door uitgelokte 'hash collisions'

30 december 2011
Twee Duitse beveiligingsexperts hebben aangetoond dat webservers met eenvoudige middelen op de knieën gebracht kunnen worden door 'hash collisions' uit te lokken. Daardoor lopen gigantisch veel websites en webapplicaties het risico te worden platgelegd.

Microsofts ASP.Net, Oracles Java, Googles V8 JavaScript en de opensourceprogrammeertalen PHP en Ruby zijn kwetsbaar voor dit type denial-of-service aanvallen.

Alexander Klink en Julian Walde maakten hun ontdekking afgelopen woensdag openbaar op het 28ste Chaos Communication Congress (28C3), deze week in Berlijn gehouden. Het probleem zit in de manier waarop de programmeertalen omgaan met hashtabellen, een datastructuur voor het snel opslaan en opvragen van informatie via sleutels die corresponderen met waarden.

Uitlokken van hash collisions

Tenzij een programmeertaal de hash-functie willekeurig uitvoert of identieke sleutels, de zogeheten 'hash collisions', weet te voorkomen, kunnen aanvallers berekenen welke data een groot aantal 'hash collisions' veroorzaken. Door die data als een eenvoudig HTTP-request naar de server te sturen, geeft deze een denial-of-service. Omdat elke 'botsing' rekenkracht van de server vraagt, kunnen meerdere kleine datapakketjes alle rekenkracht van de server in beslag nemen, waardoor deze offline gaat.

Microsoft snel met patch

Microsoft kwam gisteren met een 'emergency update' MS11-100, waarin deze en drie andere bugs in ASP.Net worden gerepareerd. Microsoft bevestigde dat een speciaal gemaakt HTTP-request van 100K dat naar een ASP.Net-server wordt gestuurd, de gehele rekencapaciteit van een CPU kern voor 90 tot 110 seconden kan consumeren.

Geen botnet nodig

Klink en Walde schatten in dat pakketjes van 6K alle capaciteit van een éénkernige processor van een Javaserver kunnen opslorpen. Dat is funest voor de sites en webapps op die server. "Een aanvaller kan met heel weinig middelen een site uit de lucht halen", zei Andrew Storms van nCircle Security tegen Computerworld. "Geen botnet nodig."

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.