Microsoft warnt vor Rechteausweitung durch ASP.NET-Schwachstellen
Entwickler, die Web-Apps mit dem ASP.NET-Core-Framework bauen, sollten checken, ob sie verwundbare Module verwenden. Diese sollten gegen neuere Versionen ausgetauscht werden, um Missbrauch durch Angreifer zu verhindern.
- Fabian A. Scherschel
Microsoft warnt vor einer Sicherheitslücke in seinem quelloffenen Web-Application-Framework ASP.NET Core. Entwickler, die bestimmte Module in ihren Projekten einsetzen, machen diese angreifbar, da der Software ein falscher Nutzer vorgespielt werden kann – was dazu führt, dass der Angreifer Nutzerrechte unter Umständen dramatisch auszuweiten vermag. In einer Sicherheitsmeldung erklärt Microsoft das Problem und zeigt, wie Entwickler die Lücke schließen können.
Oft ist es gar nicht so einfach abzuschätzen, ob das eigene Projekt verwundbar ist. So kann es vorkommen, dass der eigene Code keins der verwundbaren Module verwendet, ein eingebettetes Modul wiederum aber schon. Solche transitiven Abhängigkeiten kann man sich allerdings in Visual Studio anzeigen lassen.
Microsoft empfiehlt, das Update "Microsoft .NET Core 1.0.1 – VS 2015 Tooling Preview 2" einzuspielen, um verwundbare Versionen der Module loszuwerden. Danach müssen die Abhängigkeiten von verwundbaren Modulen in der project.json
Datei des Projektes durch die neuen Versionen ersetzt werden. Zum Abschluss muss die App neu zusammengebaut werden.
(fab)