微軟今天發布一個緊急帶外更新，以解決可能使攻擊者利用哈希碰撞攻擊技術進行拒絕服務攻擊的嚴重漏洞。

該漏洞于本周三在黑客華山論劍大會（Chaos Communications Congress）上被研究人員證實，它存在于各種流行的網絡編程語言中，包括ASP.NET，JAVA，PHP，Ruby和Apache。研究人員Alexander Klink和Julian W?lde表示，那些編程語言背后的工具包正努力關閉哈希表的弱點，以防止網絡犯罪分子利用它進行攻擊。

在安全公告中，微軟正在敦促網站開發人員考慮實施一種變通方法，阻止潛在的散列碰撞攻擊，直到補丁發布。

“該漏洞的存在是由ASP.NET形式中的ASP.NET進程值造成的，”微軟說道，“攻擊者很有可能向ASP.NET服務器發送少量特制的內容，從而導致性能顯著下降，達到拒絕服務的條件。微軟知道利用該漏洞的公開提供的詳細信息，但不知道任何主動攻擊。”

研究人員發出協調通知文件（coordinated notification paper），向供應商闡述多碰撞哈希表（PDF文檔）的問題。在這份文件里，他們說該漏洞自2003年就被知道了，并影響Pearl和cRuby開發人員改變他們的哈希函數，包括隨機，阻止該問題。

“如果語言沒有提供隨機哈希函數，或應用服務器無法辨識使用多碰撞的攻擊 ，那么攻擊者就可以通過發送大量碰撞鍵（colliding keys），使哈希表退化（變質），”在他們的論文中，兩位研究人員這樣說道。

根據文件，這些漏洞影響Web服務器運行Microsoft ASP.NET Web應用程序。研究人員表示，一個擁有高帶寬連接的黑客可以凍結成千上萬的電腦，使企業電腦癱瘓。

美國計算機應急準備小組（The United States Computer Emergency Readiness Team，USCERT）周三發布了一個公告，警告哈希碰撞攻擊可能引起拒絕服務。

“攻擊者使用HTTP POST協議向服務器提交變量，服務器會自動跟蹤變量。通過提交成千上萬特別選擇的名稱變量，導致用來存儲變量的哈希表發送名稱沖突，服務器的CPU保持活躍，”漏洞管理廠商Qualys的Wolfgang Kandek在博客中這樣寫道。“這種攻擊機制簡單而講究，導致服務器要花費數分鐘或數小時來處理一個單個的HTTP請求。”

原文出處：http://searchsecurity.techtarget.com/news/2240113146/Microsoft-emergency-update-to-address-hash-collision-attacks