Changer l'apparence
Alertes: ASP.NET 1.x
Groupe(s) OS affecté(s) : Microsoft Windows
Impact(s) : Deni de service (DoS) / Contournement de règles de sécurité
Solution : Pas de mise à jour disponible
Exploit : Inconnu
ZATAZ ID : ASZ-2005-993
Localisation(s) : Distante
Date de découverte : 07.05.2005
Un internaute malveillant pourrait causer un Déni de Service (DoS) et contourner certaines règles de sécurité par le biais de ces vulnérabilités.
Michal Zalewski a rapporté des vulnérabilités pour ASP.NET 1.x
Une erreur dans le traitement des attributs encodés en base64 "__VIEWSTATE" utilisés par la fonctionnalitée ViewState peut être exploitée pour que le serveur consomme un grande quantité de ressources, par le biais d'une requête avec un attribut "__VIEWSTATE" forgé. L'exploitation requiert que le vérificateur d'intégrité SHA1 soit désactivé (ce qui n'est pas le cas dans la configuration par défault).
La fonctionnalité ViewState n'est pas protégée correctement contre certains attaques relancées. Pour plus d'information se référé au bulletin original.
Activer le contrôleur d'intégrité SHA1.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net