2011年12月末に公表されたハッシュテーブル処理に関する攻撃手法について、様々なアプリケーションで対策がすすめられています。

この攻撃手法の影響を受けるのは、ハッシュ値が衝突するような入力を作成でき、ハッシュテーブルに登録するデータを外部から制御できる場合です。多くの Web アプリケーションで使用されるプログラミング言語やフレームワークが影響を受けます。

Perl や Ruby では、ハッシュ関数をより強固なものに変更しています。また、Apache Tomcat や PHP では、ハッシュテーブル処理に使われるデータ数を制限する設定項目を追加しています。

お使いのアプリケーションでの対策を確認し、すみやかに対応することをおすすめします。

参考文書（日本語）

• JPCERT/CC WEEKLY REPORT 2012-01-12
  【1】多くの Web アプリケーションで使用されるプログラミング言語に脆弱性
  https://www.jpcert.or.jp/wr/2012/wr120101.html#1

参考文書（英語）

• 28th Chaos Communication Congress
  28C3: Effective Denial of Service attacks against web application platforms
  http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html

Weekly Report 2012-01-25号 に掲載