Dziura w ASP .Net

Microsoft poinformował o wykryciu niebezpiecznego błędu w oprogramowaniu ASP .Net. Luka w zabezpieczeniach umożliwia włamywaczowi uzyskanie nieautoryzowanego dostępu do zgromadzonych na serwerze webowym cennych danych lub programów, chronionych przez mechanizm ASP .Net Forms.

Błąd wykryto w module odpowiedzialnym za przetwarzanie zapytań HTTP do postaci kanonicznej. Wiadomo już, że atak może nastąpić np. poprzez wysłanie do serwera odpowiednio zmodyfikowano adresu URL.

Z informacji dostarczonych przez Microsoft wynika, że na taki atak podatne są wszystkie wersje ASP (Active Server Pages) .Net, niezależnie od wersji serwera IIS. CERT Polska informuje też, że istnieją niepotwierdzone doniesienia, iż luka może nie dotyczyć Windows 2003.

Zalecanymi metodami zabezpieczenia serwera przed atakiem są:

- zainstalowanie modułu HTTP, oferowanego na stronie http://support.microsoft.com/?kbid=887289

- zainstalowanie narzędzia urlscan w celu odfiltrowywania zapytań zawierających znaki ukośnika odwrotnego (backslash) - można je znaleźć tutaj: http://www.microsoft.com/technet/security/tools/urlscan.mspx

Więcej informacji:

http://www.microsoft.com/security/incident/aspnet.mspx


Zobacz również