nikolaosk Posted September 19, 2010 Report Share Posted September 19, 2010 O ScottGu στο προσωπικό του blog, αναφέρει για ένα σοβαρό πρόβλημα (security threat-security vulnerability ) σχετικά με το ASP.Net. Να σημειώσω ότι το πρόβλημα ασφάλειας αφορά όλες τις εκδόσεις του ASP.Net. Ένας κακόβουλος χρήστης μπορεί , εκμεταλλευόμενος την αδυναμία αυτή να κατεβάσει αρχεία ( συμπεριλαμβανομένου και του web.config ) από ένα ASP.Net site. Είναι αναγκαίο άμεσα να εφαρμόσετε τα workarounds που αναφέρονται στο ίδιο post για να προστατέψετε τις asp.net εφαρμογές σας. Το workaround για τις εφαρμογές που έχουν υλοποιηθεί σε asp.net 1 έως το version 3.0 είναι πιο απλό. Για τα asp.net sites που είναι σε υλοποιημένα σε asp.net 3.5 SP1 και 4, υπάρχει μια διαφορετική προσέγγιση για να λύσουμε το θέμα. Link to comment Share on other sites More sharing options...
Akladakis Posted September 19, 2010 Report Share Posted September 19, 2010 Εδώ και το Microsoft Security Advisory http://www.microsoft.com/technet/security/advisory/2416728.mspx Link to comment Share on other sites More sharing options...
antonch Posted September 20, 2010 Report Share Posted September 20, 2010 Προσωπικά νομίζω ότι είναι πολυ φασαρία για το τίποτα. Κάθε σοβαρός asp.net developer δεν αφήνει κλειστά τα custom errors ειδικά άμα έχει παρακολουθήσει σεμινάρια asp.net από την έκδοση 1.0 μιλάνε για αυτό. Επίσης όλοι οι IIS Admins αυτό το κλείνουν όπως και να έχει. To συγκεκριμένο tag παίρνει 3 τιμές στο mode property Mode=”On” Αυτό σημαίνει ότι αν χτυπήσει κάποιο unhandled exception θα εμφανιστεί η σελίδα που έχει ορισθεί στο defaultRedirect. Mode=”Off” Εδώ είσαι τελείως ξεβράκωτος και αυτό σημαίνει ότι ότι λάθος χτυπήσει θα εμφανιστεί μια σελίδα με όλες τις λεπτομέρειες για αυτό (εμφανίσει όλο το stacktrace property του exception). Αυτή η τιμή είναι μόνο για όσο κάνουμε development και είναι για εξυπηρέτηση μας όχι για την παραγωγή. Στη παραγωγή ΠΟΤΕ δεν την βάζουμε. Αλλιώς είναι σαν παρακαλάς τον Hacker του στέλνεις έτσι το μήνυμα: «Ανοίξαμε και σας περιμένουμε». Mode=”RemoteOnly” (default) Με αυτό αν σκάσει κάποιο exception τότε στον hacker θα βγει ένα μήνυμα Server exception που δεν θα λέει τίποτα περισσότερο από να αλλάξει αν θέλει να δει το exception να αλλάξει το Mode σε On πράγμα που φυσικά δεν έχει πρόσβαση να το κάνει. Αν όμως είσαι ο admin του IIS και έχει φυσική πρόσβαση σε αυτόν και πας τοπικά και χτυπήσει το site σου και σου σκάσει θα δεις κανονικά το exception σαν να το είχες off. Αλλά αυτό δεν είναι πρόβλημα μιας και είσαι ο admin του IIS. Αν μετά από όλα αυτά αυτό είναι security issue τι να πω. Ο Σκωτ καλά κάνει και το αναφέρει μιας και πρέπει να χτυπήσει το καμπανάκι σε μερικούς μερικούς. Από την άλλη όμως θα προλάβω μερικούς που θα πουν γιατί το άφησαν έτσι και η απάντηση μου είναι γιατί σαν developer θέλω να κάνω ευκολότερα την δουλειά μου. Αλλά ξέρω σαν υπεύθυνος που είμαι για αυτό που φτιάχνω ότι στην παραγωγή το κλείνω. Link to comment Share on other sites More sharing options...
Akladakis Posted September 20, 2010 Report Share Posted September 20, 2010 Αφού το λέει ο κος Χατζηπαυλής, εγώ το μόνο που προσθέτω είναι...respect. Απλά όμως όσοι δεν το είχατε δει τόσο επαγγελματικά και δεν έχετε κάποιο IDS μπροστά που θα το έκοβε έτσι κι αλλιώς, πάρτε τα μέτρα σας. Τι να κάνουμε υπάρχουν και οι ....απρόσεκτοι. Link to comment Share on other sites More sharing options...
atsouch Posted September 21, 2010 Report Share Posted September 21, 2010 Εμένα με ανησυχεί περισσότερο - αυτό που συζητούν είναι ότι έσπασε το viewstate encryption που αν ισχύει τελικά είναι ζόρι... Link to comment Share on other sites More sharing options...
atsouch Posted September 28, 2010 Report Share Posted September 28, 2010 Μάλλον έληξε το θέμα (που τελικά ήταν πρόβλημα). Microsoft to issue emergency fix for .Net hole on 28/9/10 Read more: http://news.cnet.com/8301-27080_3-20017781-245.html?tag=mncol;title Link to comment Share on other sites More sharing options...
nikolaosk Posted September 29, 2010 Author Report Share Posted September 29, 2010 Το ASP.NET Security Update είναι πλέον διαθέσιμο. Μπορείτε από εδώ να κατεβάσετε το Update το οποίο είναι το κατάλληλο για το λειτουργικό σας. Link to comment Share on other sites More sharing options...
Recommended Posts