mboost-dp1

Microsoft

Microsoft lukker hul i ASP.NET i aften

- Via Technet blog -

Microsoft lukker det alvorlige hul i ASP.Net, der blev opdaget for nylig, med en ekstraordinær rettelse.

Rettelsen udsendes klokken 19 i aften dansk tid. Men den kommer ikke på Windows Update i første omgang. I stedet skal administratorer selv hente den på Microsoft Download Center.

Sikkerhedsrettelsen kommer uden for Microsofts skema for månedlige udsendelser af rettelser. Det forklarer firmaet med, at den lukker et hul, som udnyttes aktivt i begrænsede angreb. Samtidig får sårbarheden dog kun firmaets næstalvorligste risikovurdering.

Sårbarheden ligger i ASP.Nets implementering af krypteringsalgoritmen AES. Ved at analysere fejlmeddelelser kan en angriber få adgang til fortrolig information.

Efter nogle dage bliver rettelsen også tilgængelig via Windows Update og Windows Server Update Services.

Links til rettelsen til de enkelte versioner af ASP.Net skulle komme på Scott Gus blog.

Læs også Alvorligt sikkerhedshul i ASP.Net





Gå til bund
Gravatar #1 - Hack4Crack
28. sep. 2010 09:07
Den kræver vidst et Countdown ur!
Gravatar #2 - didriksen86
28. sep. 2010 12:39
Det eneste der skal til at fixe denne fejl er at gå væk fra AES som encryption method og gå til 3DES eller SHA1, eller lade være med at bruge custom errors. Men kæft det var svært at finde reeel info om denne fejl da det først blev almindelig kendt.
Gravatar #3 - zymes
28. sep. 2010 13:04
Nyheden skrev:
Rettelsen udsendes klokken 19 i aften dansk tid.


Øhh, måske et dumt spørgsmål, men.. Hvis den allerede er lavet, hvorfor bliver den så ikke lagt ud med det samme? Når den kommer udenfor den normale månedlige dag (Sidste torsdag? Eller?) alligevel?
Gravatar #4 - arne_v
29. sep. 2010 01:41
didriksen86 (2) skrev:
eller lade være med at bruge custom errors.


Den sender også HTTP status koder og er dermed såbar.
Gravatar #5 - eliasr
3. okt. 2010 23:26
Microsoft: kære hackere, her er en challenge. I aften lukker vi en af jeres metoder til at hacke små firmaer. Jeres mission bestemmer i selv, og ps, for at hjælpe jer, så smider vi det først på windows update om et par dage ;) hyg jer.

eller hvad ?
Gravatar #6 - arne_v
4. okt. 2010 00:22

fan af terracide


Hm ...
Gravatar #7 - eliasr
4. okt. 2010 11:28
arne_v (6) skrev:

fan af terracide


Hm ...

Nu er det ikke altid han siger noget dumt.

I forhold til min besked, mener jeg bare at Microsoft skulle tage at smide den på Windows udpate med det samme.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login