DDoS : une faille critique affecte les principaux serveurs Web
Deux chercheurs en sécurité américains, Alexander Klink et Julian Wälde, ont découvert une faille de sécurité impactant la plupart des serveurs Web. Elle permet de lancer une attaque en déni de service (DDOS) par le biais d'une requête HTTP conçue pour créer une collision de hashcode par le biais d'un formulaire (via la méthode POST).
La vulnérabilité en question touche aussi bien PHP, que Java, ASP.Net, Python ou Ruby. Un correctif est disponible pour Tomcat. Microsoft a également trouvé la parade en proposant une mise à jour pour ASP.Net. Via cette mise à niveau, il est désormais possible de limiter le nombre d'entrées d'une requête POST form à 1000 en utilisant un nouveau paramètre : aspnet:MaxHttpCollectionKeys (pour l'heure, ce paramètre s'applique à l'intégralité d'un site). L'éditeur a annoncé qu'elle sera automatiquement poussée dans la plate-forme Azure.
Un correctif équivalent est également disponible pour JSON. Mais aussi pour PHP. La dernière version du langage de script serveur (5.4), pour l'heure en Release Candidate, propose un paramètre équivalent (max_input_vars). De même, les principaux éditeurs de serveurs Web sont sur les rangs pour proposer des solutions au problème. Un patch pour Glassfish serait notamment à l'étude chez Oracle.