TechNet Team Blog Austria

Informationen und News abseits der offiziellen TechNet vom TechNet Team Blog Austria

Patch für die ASP.NET Sicherheitslücke!

Patch für die ASP.NET Sicherheitslücke!

  • Comments 1
  • Likes

Vor etwa einer guten Woche haben wir über die “ASP.NET Sicherheitslücke” berichtet und eine Zusammenfassung der wichtigsten Infos zum Workaround geschrieben.

Der Fehler betrifft alle ASP.NET Versionen und wird in “Microsoft Security Advisory (2416728), Vulnerability in ASP.NET Could Allow Information Disclosure” beschrieben.

Jetzt ging es bei Microsoft aber wirklich schnell (wenn ein Vice President in seinem Blog über einen solchen Bug reportet, dürfte das eine hohe Priorität haben ;-).

Das Microsoft Security Response Center informiert in seinem Blog, dass heute, am 28. September, um 19 Uhr (MEZ), ein Security Update veröffentlicht wird (ein Out of Band Update bedeutet außerhalb des normalen Update-Zyklus):

Out of Band Release to Address Microsoft Security Advisory 2416728

patch locks vulnerability! “The security update is fully tested and ready for release, but will be made available initially only on the Microsoft Download Center… The update will also be released through Windows Update and Windows Server Update Services within the next few days…”

Das Update wird also sowohl selbst zu laden sein als auch in den nächsten Tagen über Windows Update ausgerollt werden (der nächste offizielle Patchday ist der 12. Oktober). Betroffen sind alle Windows Server mit IIS, die ASP.NET Websiten hosten – Enduser sind demnach NICHT betroffen.

Nach dem Ausführen des Updates sind die ASP.NET Websites wieder gegen die beschriebenen Angriffe sicher. Der Workaround in web.config <customErrors mode="On" defaultRedirect="~/myerror.html" />  kann dann wieder rückgängig gemacht werden – grundsätzlich empfiehlt es sich aber natürlich im Produktivbetrieb von ASP.NET Websites eigene, “userfriendly” Fehlerseiten zu verwenden. Die custom Errors (z.B. 404, etc.) können dann aber wieder verwendet werden.



Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment