Не так давно была найдена критическая уязвимость в ASP.NET всех версий. Об этом подробно написал Скотт Гатри в своём блоге (прочитать в переводе).
При помощи этой уязвимости злоумышленник может запрашивать и загружать с сервера файлы входящие в приложение ASP.NET такие как web.config (который часто содержит секретные данные), а также расшифровать данные посланные клиенту в зашифрованном состоянии (такие как данные ViewState на странице).
Данная уязвимость затрагивает и Microsoft Dynamics CRM, особенно IFD-проекты (Internet Facing Deployment).
Сейчас уже доступно обновление, закрывающее эту уязвимость. Подробнее о патче можно прочитать в этом посте Скотта. Там же опубликованы ссылки на загрузку.
Обновление не требует конфигурирования или правки ваших ASP.NET приложений. Стоит иметь в виду, что в процессе обновления web-сервер может быть недоступен некоторое время (возможно потребуется перезагрузка). Поэтому стоит выбрать время, чтобы не помешать работе пользователей. Для кластерных систем существует возможность применения обновления без потери работоспособности - машины обновляются поочерёдно.
Настоятельно рекомендуется применить данное обновление на ваших серверах, для того чтобы защитить приложения от атак злоумышленников.
Добавить комментарий