Importante: ASP.NET Security Vulnerability

by Andrea 20 September 2010 01:58

E' stata riscontrata una vulnerabilità in ASP.NET che, se utilizzata, riuscirebbe a far scaricare qualsiasi file presente nell'applicazione, compreso il Web.config, e quindi permetterebbe ad un malintenzionato di venire in possesso di informazioni sensibili.

La vulnerabilità è stata riscontrata anche da Microsoft il 17 settembre 2010, che è già al lavoro per una possibile patch. Microsoft Security Advisory (2416728)

Al momento, è possibile applicare un workaround per tamponare il problema, in attesa della patch.
Le modifiche da eseguire, e maggiori informazioni a riguardo, le potete trovate nel post
"Important: ASP.NET Security Vulnerability", presente nel blog di Scott Guthrie.

Il workaround consiste nell'abilitare la sezione customErrors nel web.config e far puntare ogni errore che avvenga ad una specifica pagina (di errore) all'interno dell'applicazione.
E' importante che gli errori puntino alla stessa pagina di errore, e che quindi venga ritornato sempre lo stesso contenuto e lo stesso codice di errore per ogni errore che avvenga.

E' importante che vengano applicate le modifiche.

Tags: ,

ASP .NET | .NET | Microsoft

Comments

28/09/2010 00:16 #

Fix per ASP.NET Security Vulnerability

Fix per ASP.NET Security Vulnerability

Andrea Dottor - il silenzio di un urlo |

Comments are closed