Microsoft heeft een tijdelijke oplossing uitgebracht dat een zero-day gat dicht in webapplicatie framework van ASP.NET. De pleister voor het zero day lek ASP.NET voorkomt dat hackers denial of service (dos) aanvallen op webservers kunnen ondernemen.
Een zero day beveiligingslek is een lek waarvan al misbruik wordt gemaakt, voordat de leverancier op de hoogte is van het bestaan van de lek. Het kan soms dagen duren voor fabrikanten van software een update beschikbaar hebben die het euvel verhelpt. Beveiligingsonderzoekers Julian Wälde en Alexander Klink gaven een presentatie over het lek in de Web Application Frameworks afgelopen 28 december tijdens het Chaos Communication Congress in het Duitse Hamburg. Details over het lek staat op de site permalink.gmane.org.
Microsoft meldt op zijn security advisory blog niet om wat voor zero day lek het gaat, maar het gevaar is dat alle versies van het .NET framework gevoelig zijn voor een dos-aanval ofwel zero day aanval. Hierbij wordt al het cpu-vermogen van een webserver gebruikt om denial-of-service aanvallen uit te voeren waarbij gebruikt wordt gemaakt van het opvragen van http pagina's. Ook webservers die gebruik maken van default configuratie van Internet Information Services (IIS) wanneer ASP.NET aanstaat zijn gevoelig voor de aanvallen.
Apache Tomcat
Een zero-day lek komt niet alleen voor bij ASP.NET. Ook PHP 4 en 5, Java, Apache Tomcat en Geronimo, Jetty, Oracle Glassfish, Python, Plone, CRuby 1.8, JRuby en Rubinius v8 hebben er last van. Zo heeft Apache updates geleverd voor Tomcat versie 7.0.x en 6.0.x en is er een release in de maak voor versie 5.5.x
Over ASP.NET
ASP.NET (spreek uit: A.S.P. dot net) is de opvolger van ASP en onderdeel van het .NET Framework van Microsoft. ASP staat voor Active Server Pages en is van oorsprong een Microsoft-technologie. ASP.NET is een manier om op een webserver webpagina's aan te maken met behulp van programmacode. Hiermee kunnen vaste html-codes gecombineerd worden met variabele inhoud die door een programma wordt geproduceerd.