Уязвимость безопасности ASP.NET

Не так давно была найдена критическая уязвимость в ASP.NET всех версий. Об этом подробно написал Скотт Гатри в своём блоге (прочитать в переводе).

При помощи этой уязвимости злоумышленник может запрашивать и загружать с сервера файлы входящие в приложение ASP.NET такие как web.config (который часто содержит секретные данные), а также расшифровать данные посланные клиенту в зашифрованном состоянии (такие как данные ViewState на странице).

Данная уязвимость затрагивает и Microsoft Dynamics CRM, особенно IFD-проекты (Internet Facing Deployment).

Сейчас уже доступно обновление, закрывающее эту уязвимость. Подробнее о патче можно прочитать в этом посте Скотта. Там же опубликованы ссылки на загрузку.

Обновление не требует конфигурирования или правки ваших ASP.NET приложений. Стоит иметь в виду, что в процессе обновления web-сервер может быть недоступен некоторое время (возможно потребуется перезагрузка). Поэтому стоит выбрать время, чтобы не помешать работе пользователей. Для кластерных систем существует возможность применения обновления без потери работоспособности - машины обновляются поочерёдно.

Настоятельно рекомендуется применить данное обновление на ваших серверах, для того чтобы защитить приложения от атак злоумышленников.

Русский

Метки:

field_vote: 
3
Average: 3 (28 votes)

Добавить комментарий