スポンサーサイト

[ --/--/-- --:-- ] スポンサー広告 | TB(-) | CM(-)
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Microsoftなど、年末に臨時アップデートを公開 「ハッシュ衝突」の脆弱性に対処

[ 2012/01/09 19:00 ] PCニュース | TB(0) | CM(0)
windows_7.jpg

1たかちゃんψ ★2012/01/06(金) 23:34:58.58ID???

米Microsoftなどの大手を含む複数ベンダーの製品に、プログラミング言語の実装問題に起因するサービス妨害(DoS)状態誘発の 脆弱性があることが2011年末に発覚した。

Microsoftなどは臨時アップデートを公開してこの問題に対処している。

米セキュリティ機関US-CERTのセキュリティ情報によると、脆弱性はプログラミング言語の実装問題に起因するハッシュ衝突によって発生する。 この問題を突かれた場合、アプリケーションがDoS状態に陥る可能性があり、特にWebアプリケーションサーバでは細工を施した POSTフォームデータによってDoSを誘発される恐れがある。

US-CERTではこの問題の影響を受ける可能性のあるベンダーとして、Adobe、Apache Tomcat、IBM、Microsoft、Oracle、Ruby、PHP Groupを挙げている。

このうちMicrosoftはアプリケーション開発環境「.NET Framework」の臨時アップデートを12月30日にリリースし、
ハッシュテーブルの衝突に起因する脆弱性を含め、計4件の脆弱性に対処した。
特に深刻な脆弱性では、攻撃者が細工を施したWebリクエストを標的とするサイトに送り付けることによって特権を昇格できてしまう
恐れがあるとされ、最大深刻度は最も高い「緊急」となっている。

また、プログラミング言語Rubyのセキュリティチームはこの問題に対処して、1.8.7版のRubyのアップデートとなる「パッチレベル357」を公開した。 一方、最新版のRuby 1.9はこの脆弱性の影響を受けないとされる。

http://www.itmedia.co.jp/news/articles/1201/06/news025.html



2名無しさん@お腹いっぱい。2012/01/06(金) 23:42:39.86ID???
どどど、どーすんだよ!?


3名無しさん@お腹いっぱい。2012/01/06(金) 23:52:03.49ID???
ハッシュなんて使うなよ


5名無しさん@お腹いっぱい。2012/01/07(土) 12:36:17.37ID???
Pythonは無傷か


6名無しさん@お腹いっぱい。2012/01/07(土) 15:32:37.10ID???
世界中のサーバーがゴミになった
銀行など攻撃すると楽しいよ


7名無しさん@お腹いっぱい。2012/01/07(土) 15:41:57.76ID???
Web鯖のリソースを食いつぶすだけだろ。
その後ろのサーバーは余裕綽々だぞ。


12名無しさん@お腹いっぱい。2012/01/07(土) 22:09:30.47ID???
>>8
アルゴリズムとかいう程大層なものじゃない。
多数の文字列を検索するためにハッシュテーブルを作成する際に使われる
ハッシュ値の生成方法が狙われただけ。
意図的にハッシュ値が同じになる別々のパラメータ名を大量に突っ込んでやることで、
パラメータ名の検索効率を下げて負荷を上げた。


9名無しさん@お腹いっぱい。2012/01/07(土) 19:07:44.60ID???
SHA1とか聞いた







コメントの投稿













管理者にだけ表示を許可する

トラックバック:

この記事のトラックバック URL
http://pcsokuhou2ch.blog.fc2.com/tb.php/323-2f9507cd











上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。