E’ disponibile un aggiornamento importante per la sicurezza di siti che utilizzano ASP.NET.

Il security update (MS11-100) è stato rilasciato ed è disponibile in modo automatico via Windows Update, Windows Server Update e dal download center di Microsoft. Trovate i link direttamente nel security update che vi ho indicato, oppure consultando l’articolo KB2638420 trovate il link diretto per il download a seconda delle varie versioni del framework .NET e sistema operativo usato.

Questo security update è stato rilasciato il 29 Dicembre e risolve un problema presente in tutte le versioni di ASP.NET.

Il 28 Dicembre durante una conferenza sulla sicurezza è stata mostrata una tecnica per compromettere strutture dati di tipo hash-table usate da diversi framework web, tra cui anche ASP.NET. Questo tipo di attacco non è specifico di un linguaggio di programmazione o di un particolare sistema operativo ed è noto come “hash collision attack”. Un attacco di questo tipo può portare a bloccare l’utilizzo del server causando il noto “denial of service” (DoS), poiché il server non è più responsivo alle richieste http che arrivano.

Il consiglio è di installare l’aggiornamento anche se non sono stati riportati attacchi di questo tipo e in caso di problemi di consultare il forum dedicato. E’ inoltre possibile seguire tutte le ultime informazioni seguendo MSRC team su Twitter at @MSFTSecResponse.