Nei giorni precedenti è emerso un problema legato al modo in cui diversi framework web basati su ASP.NET, Java, PHP, Python, Ruby e Javascript (Node.JS) trattano l'hashind dei dati inviati via form, che poteva causare un attacco di tipo DoS (Denial of Service).

Tutti i dettagli della vulnerabilità che viene sfruttata sono disponibili nel bulettin ufficiale del CERT, a questo indirizzo (PDF).

Microsoft è stata avvisata in data 29/11/2011 della vulnerabilità ed ha provveduto, nella giornata di ieri, a rilaciare un bulettin ufficiale, come abbiamo prontamente riportato anche noi su Twitter, qui e qui.

Il problema affligge tutte le versioni del .NET Framework e di ASP.NET, dalla 1.0 alla 4.0, su tutte le piattaforme supportate (Windows XP, Windows Server 2003, 2003 R2, 2008, 2008 R2, Windows Vista, Windows 7)

Durante la notte è stata rilasciata una patch ufficiale, che viene distribuita attraverso Windows Update e che invitiamo tutti ad installare (nel caso di hosting, vi invitiamo a contattare il vostro provider per assicurarsi che installi la patch il prima possibile).

Tutte le informazioni del caso sono disponibili nel security advisory di Microsoft, oltre che nel bulettin ufficiale (MS11-100).

Si raccomanda, come già detto, di installare immediatamente la patch, perché tra le aree colpite da questa vulnerabilità c'è la Forms Authentication di ASP.NET, che serve per gestire l'accesso ad aree riservate. Da notare che è necessario un riavvio del server dopo l'installazione della patch.

Aggiornamento: per quanto riguarda Windows Azure, occorre sottolineare che, nella maggior parte dei casi, l'update della versione è impostato su Auto e la patch, quindi, sarà installata in automatico. Negli altri casi, invece, è necessario procedere manualmente all'aggiornamento dell'istanza.