Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

ASP.NET RCP/encoded Mode : Vulnérabilité de Déni de Service

22/01/2007 20H04
Référence Secunia : SA16005 
Date de publication : 2005-07-12

Risque : Non Critique. Niveau 2 sur 5.
Impact : DoS
Lieu : A distance


Solutions :
Non corrigée


Produit :
ASP.NET 1.x
Microsoft .NET Framework 1.x

Description :
SPI Labs a rapporté une vulnérabilité dans ASP.NET, qui pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS).

La vulnérabilité est causée du fait d'une erreur de validation d'entrée dans le "System.Xml.Serialization.Xml.XmlSerializationReader.ReadRéférencedElements()" function. Cela pourrait être exploité pour entrainer une boucle infinie et consommer a une grande partie des ressources CPU sur un système vulnérable en envoyant a specially crafted SOAP message à a RCP/encoded web method, qui takes an array comme input.
Solut ions :Use le mode document/literalpour web services handling input depuis des sources non fiables.

La vulnérabilité sera corrigée dans une prochaîne version.


Vulnérabilité découverte par :

Bryan Sullivan et Sacha Faust, SPI Labs.

Référence :
SPI Labs:
http://www.spidynamics.com/spilabs/advisories/aspRCP.html


Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20070723 Asp cvmatik Vulnérabilité Cross Site Scripting
20070717 ASP Ziyaretci Defteri mesaj formu asp Insertion de Script
20060609 ASP ListPics Info Parameter Cross Site Scripting
20060602 ASP Discussion Forum search Parameter Cross Site Scripting
20060508 2005 Comments Script Vulnérabilités Diverses
20060315 ASP Portal Cross Site Scripting et Injection SQL
20051130 ASP rider Vulnérabilité d'Injection SQL
20051102 Serv U Mise à Jour de Sécurité pour DoS
20051102 Serv U FTP Server Vulnérabilité de Déni de Service
20051031 ASP Fast Forum Vulnérabilité Cross Site Scripting
20050712 ASP NET RCP encoded Mode Vulnérabilité de Déni de Service
20050512 ASP Virtual News Manager password Vulnérabilité d'Injection SQL
20050505 ASP NET ViewState Déni de Service et Contournement de la Sécurité
20050504 ASP Inline Corporate Calendar Event ID Injection SQL
20050425 Asp Nuke Cross Site Scripting et Injection SQL
20050211 Mod python publisher py Disclosure of Object Information
20041227 ASP rider username Vulnérabilité d'Injection SQL
20041109 ASP Message Board Cross Site Scripting et Injection SQL
20040913 Serv U FTP Server STOU Command Vulnérabilité de Déni de Service
20040420 Serv U FTP Server Commande LIST Vulnérabilité de Déni de Service
20040324 Mod Survey Script et SQL Insertion Vulnérabilité
20040227 Serv U FTP Server MDTM Command Vulnérabilité de Dépassement de Tampon
20040216 ASP Portal Vulnérabilités Diverses
20040126 Serv U FTP Server SITE CHMOD Command Vulnérabilité de Dépassement de Tampon
20031201 Mod python Vulnérabilité de Déni de Service
20030506 Mod Survey SYSBASE Déni de Service
20030401 Mod survey survey manipulation
20021111 Serv U Déni de Service
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe