Sharepoint von ASP.NET-Lücke betroffen
Bislang hatte Microsoft keine konkreten Angaben dazu gemacht, welche auf ASP.NET aufsetzenden Anwendungen verwundbar sind. Als Workaround soll auch hier das Blockieren bestimmter Server-Fehlermeldungen funktionieren.
- Daniel Bachfeld
Microsoft hat im SharePoint Team Blog darauf hingewiesen, dass auch SharePoint-Server von der Padding-Oracle-Schwachstelle in ASP.NET betroffen sind. Bislang hatte der Hersteller keine konkreten Angaben dazu gemacht, welche auf ASP.NET aufsetzenden Anwendungen verwundbar sind.
Betroffen sind laut Microsoft Sharepoint 2010, SharePoint Foundation 2010, Microsoft Office SharePoint Server 2007, Windows SharePoint Services 3.0 und Windows SharePoint Services 2.0. Nicht betroffen ist SharePoint Portal Server 2003. Microsoft arbeitet an der Lösung des zugrundeliegenden Problems, das im .NET-Framework 1.0 SP3 bis 4.0 zu finden ist. Bis dahin empfehlen die Redmonder als Workaround, die Anzeige spezifischer Fehlermeldungen des Server zu unterbinden. Ein Anleitung dazu findet sich im offiziellen Fehlerbericht von Microsoft. Nach Meinung von Thai Duong, einem der Entdecker der Lücke, schützt der Workaround aber nur unzureichend.
Die Schwachstelle beruht auf der fehlerhaften Implementierung kryptografischer Funktionen und lässt sich aus der Ferne ausnutzen, um bestimme Statuswerte von Serversteuerelementen (ViewStates) und Cookies auszulesen sowie unbefugt Dateien von Servern herunterzuladen. Das "Padding Oracle Exploitation Tool" (Poet) ist in der Lage, derartige Lücken zu missbrauchen. Es wertet dazu die Fehlermeldungen des Servers auf bestimmte Pakete aus. Ein von Microsoft zur Verfügung gestelltes Tool kann dabei helfen, betroffene Software aufzuspüren. (dab)