* Hash collision attack

– Date : 29 Decembre 2011

– Gravité : Elevée

– Description :

Au lendemain de la publication d’un correctif pour ASP.NET (voir bulletin CXA-2011-2244), de nouvelles informations ont été publiées. En effet, d’autres langages semblent être également vulnérables à l’attaque "Hash collision".

Pour rappel, la faille de sécurité provient d’une erreur au sein de la gestion des tables de hash. En effet l’insertion de multiples clés de collision dans la table peut consommer une grande charge de CPU et ainsi provoquer un déni de service du système en envoyant une seule requête POST spécialement conçue.

Ce problème de gestion des tables de hash serait connu depuis 2003.

Les différents langages qui seraient impactés sont PHP 5, ASP.NET, Java, Python, Ruby et V8. Des mises à jour seront prochainement publiées.

Pour les langages n’ayant pas encore publié de mises à jour de sécurité, il est possible de mettre en place différentes méthodes de contournement :

– En limitant le temps CPU qu’une requête peut prendre (max_input_time en PHP).
– En limitant la taille maximale d’une requête POST.
– En limitant le nombre maximal de paramètres d’une requête.

– Référence :

http://www.nruns.com/_downloads/advisory28122011.pdf

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2244

– Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2250