2011年12月末に公表されたハッシュテーブル処理に関する攻撃手法について、様々なアプリケーションで対策がすすめられています。 この攻撃手法の影響を受けるのは、ハッシュ値が衝突するような入力を作成でき、ハッシュテーブルに登録するデータを外部から制御できる場合です。多くの Web アプリケーションで使用されるプログラミング言語やフレームワークが影響を受けます。 Perl や Ruby では、ハッシュ関数をより強固なものに変更しています。また、Apache Tomcat や PHP では、ハッシュテーブル処理に使われるデータ数を制限する設定項目を追加しています。 お使いのアプリケーションでの対策を確認し、すみやかに対応することをおすすめします。
参考文書(日本語)
-
JPCERT/CC WEEKLY REPORT 2012-01-12
【1】多くの Web アプリケーションで使用されるプログラミング言語に脆弱性
https://www.jpcert.or.jp/wr/2012/wr120101.html#1
参考文書(英語)
-
28th Chaos Communication Congress
28C3: Effective Denial of Service attacks against web application platforms
http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html
Weekly Report 2012-01-25号 に掲載