SOAP-Nachrichten legen Web Services lahm
Die Firma SPI beschreibt einen Fehler der ASP.NET-Web Services bei der Verarbeitung von speziellen SOAP-Nachrichten, der sich für DoS-Angriffe ausnutzen lässt.
In einem Security-Advisory beschreibt die Firma SPI ein Denial-of-Service-Problem im Zusammenspiel von Internet Information Server (IIS) und ASP.NET-Web Services. Bei der Verarbeitung von Simple Object Access Protocol (SOAP)-Nachrichten, die im Format RCP/Encoded kodiert sind, kann es zu einer völligen Auslastung der CPU kommen. Anwendungen, die über die Funktion System.Xml.Serialization Daten im RCP/Encoded-Format entgegennehmen, sind ebenfalls anfällig.
SOAP ist ein schlankes, auf XML aufsetzendes Protokoll zum strukurierten Informationsaustausch in dezentralen, verteilten Umgebungen. ASP.NET Web Services nutzen SOAP zum Nachrichtenaustausch. Speziell zusammengestellte SOAP-Nachrichten in der RCP/Encoded-Kodierungsform fĂĽhren zu einer Endlosschleife in der Funktion System.Xml.Serialization.Xml.XmlSerializationReader.ReadReferencedElements().
Auf schnellen Systemen können mehrere derartiger Nachrichten notwendig sein, um diesen Fehler zu provozieren. Der Prozess aspnet_wp.exe konsumiert dann 100 Prozent CPU-Zeit und reagiert nicht mehr auf weitere Anfragen. In dieser Situation kann der Prozess über den Taskmanager beendet und neu gestartet werden, er nimmt ohne Probleme die Arbeit wieder auf.
Laut Advisory empfiehlt Microsoft ohnehin, statt RCP/Encoded fĂĽr die Kodierung der Nachrichten document/literal zu nutzen, das nicht von diesem Problem betroffen ist. Trotzdem wolle Microsoft den Fehler im kommenden "Whidbey"-Release der Web Services beheben.
Siehe dazu auch: (dmk)
- "ASP.NET RCP/Encoded Web service DOS" von SPI
- SOAP-Spezifikation vom W3C
