微軟今天發(fā)布一個(gè)緊急帶外更新，以解決可能使攻擊者利用哈希碰撞攻擊技術(shù)進(jìn)行拒絕服務(wù)攻擊的嚴(yán)重漏洞。

該漏洞于本周三在黑客華山論劍大會(huì)（Chaos Communications Congress）上被研究人員證實(shí)，它存在于各種流行的網(wǎng)絡(luò)編程語(yǔ)言中，包括ASP.NET，JAVA，PHP，Ruby和Apache。研究人員Alexander Klink和Julian W?lde表示，那些編程語(yǔ)言背后的工具包正努力關(guān)閉哈希表的弱點(diǎn)，以防止網(wǎng)絡(luò)犯罪分子利用它進(jìn)行攻擊。

在安全公告中，微軟正在敦促網(wǎng)站開(kāi)發(fā)人員考慮實(shí)施一種變通方法，阻止?jié)撛诘纳⒘信鲎补簦钡窖a(bǔ)丁發(fā)布。

“該漏洞的存在是由ASP.NET形式中的ASP.NET進(jìn)程值造成的，”微軟說(shuō)道，“攻擊者很有可能向ASP.NET服務(wù)器發(fā)送少量特制的內(nèi)容，從而導(dǎo)致性能顯著下降，達(dá)到拒絕服務(wù)的條件。微軟知道利用該漏洞的公開(kāi)提供的詳細(xì)信息，但不知道任何主動(dòng)攻擊。”

研究人員發(fā)出協(xié)調(diào)通知文件（coordinated notification paper），向供應(yīng)商闡述多碰撞哈希表（PDF文檔）的問(wèn)題。在這份文件里，他們說(shuō)該漏洞自2003年就被知道了，并影響Pearl和cRuby開(kāi)發(fā)人員改變他們的哈希函數(shù)，包括隨機(jī)，阻止該問(wèn)題。

“如果語(yǔ)言沒(méi)有提供隨機(jī)哈希函數(shù)，或應(yīng)用服務(wù)器無(wú)法辨識(shí)使用多碰撞的攻擊 ，那么攻擊者就可以通過(guò)發(fā)送大量碰撞鍵（colliding keys），使哈希表退化（變質(zhì)），”在他們的論文中，兩位研究人員這樣說(shuō)道。

根據(jù)文件，這些漏洞影響Web服務(wù)器運(yùn)行Microsoft ASP.NET Web應(yīng)用程序。研究人員表示，一個(gè)擁有高帶寬連接的黑客可以?xún)鼋Y(jié)成千上萬(wàn)的電腦，使企業(yè)電腦癱瘓。

美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組（The United States Computer Emergency Readiness Team，USCERT）周三發(fā)布了一個(gè)公告，警告哈希碰撞攻擊可能引起拒絕服務(wù)。

“攻擊者使用HTTP POST協(xié)議向服務(wù)器提交變量，服務(wù)器會(huì)自動(dòng)跟蹤變量。通過(guò)提交成千上萬(wàn)特別選擇的名稱(chēng)變量，導(dǎo)致用來(lái)存儲(chǔ)變量的哈希表發(fā)送名稱(chēng)沖突，服務(wù)器的CPU保持活躍，”漏洞管理廠(chǎng)商Qualys的Wolfgang Kandek在博客中這樣寫(xiě)道。“這種攻擊機(jī)制簡(jiǎn)單而講究，導(dǎo)致服務(wù)器要花費(fèi)數(shù)分鐘或數(shù)小時(shí)來(lái)處理一個(gè)單個(gè)的HTTP請(qǐng)求。”

原文出處：http://searchsecurity.techtarget.com/news/2240113146/Microsoft-emergency-update-to-address-hash-collision-attacks