ECS-Webhosting Support

Startseite Suche Tags Glossar Mitglieder

Herzlich willkommen ( Anmelden )

Home » Fragen und Antworten » Webhosting » ASP.NET » Schwerwiegende Sicherheitslücke in allen ASP.NET Versionen

Schwerwiegende Sicherheitslücke in allen ASP.NET Versionen

Schwerwiegende Sicherheitslücke in allen ASP.NET Versionen

Stand 20.09.2010

Hinweis:
Es existiert derzeit eine gravierende Sicherheitslücke in allen ASP.NET Versionen, welche es einem Hacker unter Umständen ermöglicht, Daten der Session oder Dateien (z.B. web.config) auszulesen. In der Datei web.config stehen meist Ihre Zugangsdaten zur Datenbank etc. im Klartext!

http://www.microsoft.com/technet/security/advisory/2416728.mspx
http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

Wie gefährlich ist die Sicherheitslücke?
"An attacker who exploited this vulnerability could view data, such as the View State, which was encrypted by the target server, or read data from files on the target server, such as web.config. This would allow the attacker to tamper with the contents of the data. By sending back the altered contents to an affected server, the attacker could observe the error codes returned by the server. We are not aware of attacks that try to use the reported vulnerabilities or of customer impact at this time."

Gegenmaßnahmen:
Es existiert derzeit keine serverseitige Gegenmaßnahme! Sie sollten daher Ihre ASP.NET Anwendung umkonfigurieren, dass Sie dem Hacker keine unnötigen Informationen (z.B. detailierte Fehlermeldungen) zum Hacken liefern.

Wir empfehlen, sich folgendes Tutorial dazu anzuschauen:
http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

Tags:

ASP.NET, sicherheit