微軟今天發(fā)布一個(gè)緊急帶外更新，以解決可能使攻擊者利用哈希碰撞攻擊技術(shù)進(jìn)行拒絕服務(wù)攻擊的嚴(yán)重漏洞。

該漏洞于本周三在黑客華山論劍大會(huì)（Chaos Communications Congress）上被研究人員證實(shí)，它存在于各種流行的網(wǎng)絡(luò)編程語言中，包括ASP.NET，JAVA，PHP，Ruby和Apache。研究人員Alexander Klink和Julian W?lde表示，那些編程語言背后的工具包正努力關(guān)閉哈希表的弱點(diǎn)，以防止網(wǎng)絡(luò)犯罪分子利用它進(jìn)行攻擊。

在安全公告中，微軟正在敦促網(wǎng)站開發(fā)人員考慮實(shí)施一種變通方法，阻止?jié)撛诘纳⒘信鲎补簦钡窖a(bǔ)丁發(fā)布。

“該漏洞的存在是由ASP.NET形式中的ASP.NET進(jìn)程值造成的，”微軟說道，“攻擊者很有可能向ASP.NET服務(wù)器發(fā)送少量特制的內(nèi)容，從而導(dǎo)致性能顯著下降，達(dá)到拒絕服務(wù)的條件。微軟知道利用該漏洞的公開提供的詳細(xì)信息，但不知道任何主動(dòng)攻擊。”

研究人員發(fā)出協(xié)調(diào)通知文件（coordinated notification paper），向供應(yīng)商闡述多碰撞哈希表（PDF文檔）的問題。在這份文件里，他們說該漏洞自2003年就被知道了，并影響Pearl和cRuby開發(fā)人員改變他們的哈希函數(shù)，包括隨機(jī)，阻止該問題。

“如果語言沒有提供隨機(jī)哈希函數(shù)，或應(yīng)用服務(wù)器無法辨識(shí)使用多碰撞的攻擊 ，那么攻擊者就可以通過發(fā)送大量碰撞鍵（colliding keys），使哈希表退化（變質(zhì)），”在他們的論文中，兩位研究人員這樣說道。

根據(jù)文件，這些漏洞影響Web服務(wù)器運(yùn)行Microsoft ASP.NET Web應(yīng)用程序。研究人員表示，一個(gè)擁有高帶寬連接的黑客可以凍結(jié)成千上萬的電腦，使企業(yè)電腦癱瘓。

美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組（The United States Computer Emergency Readiness Team，USCERT）周三發(fā)布了一個(gè)公告，警告哈希碰撞攻擊可能引起拒絕服務(wù)。

“攻擊者使用HTTP POST協(xié)議向服務(wù)器提交變量，服務(wù)器會(huì)自動(dòng)跟蹤變量。通過提交成千上萬特別選擇的名稱變量，導(dǎo)致用來存儲(chǔ)變量的哈希表發(fā)送名稱沖突，服務(wù)器的CPU保持活躍，”漏洞管理廠商Qualys的Wolfgang Kandek在博客中這樣寫道。“這種攻擊機(jī)制簡單而講究，導(dǎo)致服務(wù)器要花費(fèi)數(shù)分鐘或數(shù)小時(shí)來處理一個(gè)單個(gè)的HTTP請(qǐng)求。”

原文出處：http://searchsecurity.techtarget.com/news/2240113146/Microsoft-emergency-update-to-address-hash-collision-attacks