Lỗi zero-day của ASP.NET
Hai chuyên gia nghiên cứu bảo mật Dương Ngọc Thái và Juliano Rizzo vừa công bố một lỗi nghiêm trọng của ASP.NET có thể gây ra hậu quả làm lộ thông tin bí mật của hệ thống.
Tổng quan
Hai chuyên gia nghiên cứu bảo mật Dương Ngọc Thái và Juliano Rizzo vừa công bố một lỗi nghiêm trọng của ASP.NET có thể gây ra hậu quả làm lộ thông tin bí mật của hệ thống.
I. Mô tả
Lỗi này nằm trong cơ chế thực hiện mã hóa phiên làm việc của ứng dụng web ASP.NET, dẫn tới việc kẻ tấn công có thể thăm dò để tìm ra khóa giải mã trong một thời gian ngắn.
Hiện tại chưa có bản vá chính thức cho lỗi này.
II. Tác hại
Kẻ tấn công khai tác vào lỗ hổng này có thể tìm ra khóa giải mã để đọc nội dung những thông tin đã được mã hóa. Từ đó, kẻ xấu có thể thực hiện các thao tác tấn công leo thang để chiếm quyền điều khiển hệ thống.
III. Giải pháp
Lỗ hổng này mới được phát hiện và chưa có bản vá.
Trong thời gian chờ đợi Microsoft phát hành bản vá, để giảm thiểu các nguy cơ bị tấn công khai thác lỗi này, Trung tâm VNCERT khuyến cáo thực hiện giải pháp tình thế như sau:
- Thiết lập cấu hình để hệ thống trả về cùng một thông báo lỗi đối với những truy vấn web không hợp lệ.
- Tăng thời gian chờ khi hiển thị các thông báo lỗi để tránh bị tấn công thăm dò.
- Tăng cường giám sát hệ thống để phát hiện kịp thời các cuộc tấn công thăm dò vào hệ thống.
Các hệ thống có khả năng bị ảnh hưởng
Tất cả các phiên bản của ASP.NET.
Tham khảo
Other Information
|
Ngày thông báo
|
19/09/2010
|
|
Ngày cập nhật sau cùng
|
|
|
VNCERT-ID
|
LH10-1909
|
|
Mức độ nguy hiểm
|
cao
|