Уязвимость, описанная в данном бюллетене, была объявлена на проходящем в Германии Chaos Communications Congress, ее эксплуатация позволяет привести к DOS-атаке на серверы, обслуживающие страницы ASP.NET.
Выпущенный патч Microsoft обозначила как критически важный, хотя в компании говорят, что не получали от клиентов жалоб на атаки данного типа. Выпущенный патч связан с Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 Service Pack 1, Microsoft .NET Framework 3.5.1 и Microsoft .NET Framework 4 на всех поддерживаемых сейчас версиях Windows.
В результате уязвимости хакеры могли вызвать коллизию хэш-значений и провести DOS-атаку на целевой сервер, где запущена данная среда. В Microsoft говорят, что атакующий мог сконструировать специальный HTTP-запрос, содержащий очень большие значения данных, передаваемых в форму Post для дальнейшей обработки со стороны ASP.NET. Данное значение в итоге поглотит все свободные ресурсы центрального процессора сервера. Также компания подчеркивает, что этой уязвимости не подвержены серверы, обслуживающие статические страницы.
Подробные данные доступны в TechNet: http://technet.microsoft.com/en-us/security/advisory/2659883
