Microsoft warnt vor SicherheitslĂĽcke in ASP.NET
Microsoft hat die vergangene Woche gemeldete Sicherheitslücke in ASP.NET bestätigt und auf seinen Seiten ein eigenes Advisory veröffentlicht.
Microsoft hat die vergangene Woche gemeldete Sicherheitslücke in ASP.NET bestätigt und auf seinen Seiten ein eigenes Advisory veröffentlicht. Mit der Lücke ist es möglich, durch die Angabe von Backslashes (\ oder %5c) und Leerzeichen (%20) in URLs die Zugriffsbeschränkung auf geschützte Verzeichnisse zu umgehen. Nach Angaben von Microsoft sind wahrscheinlich alle ASP.NET-Versionen von dem Fehler betroffen, unabhängig von der installierten IIS-Version und dessen Komponenten (ASP.NET auf Windows 2000, Professional und Server 2003).
Microsoft arbeitet an einem Security-Update fĂĽr ASP.NET und will es zur VerfĂĽgung stellen, sobald es ausreichend getestet ist. Bis dahin empfiehlt der Hersteller allen Administratoren und Betreibern dringend, die im Knowledgebase-Artikel Programmatically check for canonicalization issues with ASP.NET empfohlenen MaĂźnahmen umzusetzen. Alternativ stellt Microsoft das HTTP-Modul ASP.NET ValidatePath module zum Download bereit, das ebenfalls wie das schon vorgeschlagende URLScan vor so genannter URL-Canonicalization schĂĽtzen kann
Siehe dazu auch: (dab)
- What You Should Know About a Reported Vulnerability in Microsoft ASP.NET von Microsoft
- ASP.NET ValidatePath Module von Microsoft
- HTTP module to check for canonicalization issues with ASP.NET von Microsoft
