Podatność ta pozwala anonimowemu atakującemu na wymuszenie 100% zużycia procesorów serwera WWW (czy nawet jego klastra). Dla ASP.NET pojedynczy spreparowany około 100kb pakiet może spowodować pełne wykorzystanie procesora na 90 do 110 sekund. Atakujący potencjalnie może ponawiać próby - prowadząc do praktycznego wyłączenia dostępności usługi.

Przyczyny tej podatności leżą w złożoności obliczeniowej związanej ze wstawianiem do tablic skrótów (hash table) wielu tysięcy wartości zmiennych przekazywanych w zapytaniu HTTP. Problem dotyczy zapytań obsługujących application/x-www-form-urlencoded lub multipart/form-data.

Jako tymczasowe obejście Microsoft proponuje filtrowanie na warstwie sieciowej lub ograniczenie wielkości obsługiwanych zapytań do 200kb w wypadku wykorzystywania mechanizm ASP.NET ViewState i do 20kb w wypadku, gdy nie jest on wykorzystywany.

Zapowiedziano opublikowanie dziś, 29. grudnia, pilnej poprawki dostępnej poza standardowym cyklem poprawek. 

Security Advisories > Microsoft Security Advisory (2659883) 

MSRC  >  Advanced Notification for out-of-band release to address Security Advisory 2659883

Security Research & Defense > More information about the December 2011 ASP.Net vulnerability 

ISC Diary: Hash collisions vulnerability in web servers 

Alexander ‘alech’ Klink, Julian | zeri:  Effective Denial of Service attacks against web application platforms We are the 99% (CPU usage)