Уязвимость безопасности ASP.NET

Не так давно была найдена критическая уязвимость в ASP.NET всех версий. Об этом подробно написал Скотт Гатри в своём блоге (прочитать в переводе).

При помощи этой уязвимости злоумышленник может запрашивать и загружать с сервера файлы входящие в приложение ASP.NET такие как web.config (который часто содержит секретные данные), а также расшифровать данные посланные клиенту в зашифрованном состоянии (такие как данные ViewState на странице).

Данная уязвимость затрагивает и Microsoft Dynamics CRM, особенно IFD-проекты (Internet Facing Deployment).

Сейчас уже доступно обновление, закрывающее эту уязвимость. Подробнее о патче можно прочитать в этом посте Скотта. Там же опубликованы ссылки на загрузку.

Обновление не требует конфигурирования или правки ваших ASP.NET приложений. Стоит иметь в виду, что в процессе обновления web-сервер может быть недоступен некоторое время (возможно потребуется перезагрузка). Поэтому стоит выбрать время, чтобы не помешать работе пользователей. Для кластерных систем существует возможность применения обновления без потери работоспособности - машины обновляются поочерёдно.

Настоятельно рекомендуется применить данное обновление на ваших серверах, для того чтобы защитить приложения от атак злоумышленников.

Ваша оценка: Пусто Средняя: 3 (28 votes)

Комментарии

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.
  • Syntax highlight code surrounded by the {syntaxhighlighter SPEC}...{/syntaxhighlighter} tags, where SPEC is a Syntaxhighlighter options string or "class="OPTIONS" title="the title".

Подробнее о форматировании

Image CAPTCHA
Enter the characters shown in the image.
Работает на Drupal, система с открытым исходным кодом.