zurück zum Artikel

Microsoft warnt vor Sicherheitslücke in ASP.NET

Daniel Bachfeld

Microsoft hat die vergangene Woche gemeldete Sicherheitslücke in ASP.NET bestätigt und auf seinen Seiten ein eigenes Advisory veröffentlicht.

Microsoft hat die vergangene Woche gemeldete Sicherheitslücke in ASP.NET [1] bestätigt und auf seinen Seiten ein eigenes Advisory [2] veröffentlicht. Mit der Lücke ist es möglich, durch die Angabe von Backslashes (\ oder %5c) und Leerzeichen (%20) in URLs die Zugriffsbeschränkung auf geschützte Verzeichnisse zu umgehen. Nach Angaben von Microsoft sind wahrscheinlich alle ASP.NET-Versionen von dem Fehler betroffen, unabhängig von der installierten IIS-Version und dessen Komponenten (ASP.NET auf Windows 2000, Professional und Server 2003).

Microsoft arbeitet an einem Security-Update für ASP.NET und will es zur Verfügung stellen, sobald es ausreichend getestet ist. Bis dahin empfiehlt der Hersteller allen Administratoren und Betreibern dringend, die im Knowledgebase-Artikel Programmatically check for canonicalization issues with ASP.NET [3] empfohlenen Maßnahmen umzusetzen. Alternativ stellt Microsoft das HTTP-Modul ASP.NET ValidatePath module zum Download bereit, das ebenfalls wie das schon vorgeschlagende URLScan vor so genannter URL-Canonicalization [4] schützen kann

Siehe dazu auch: (dab [5])

URL dieses Artikels:
https://www.heise.de/-107708

Links in diesem Artikel:
[1] https://www.heise.de/news/Fehler-in-NET-Authentifizierung-unter-IIS-5-106495.html
[2] http://www.microsoft.com/security/incident/aspnet.mspx
[3] http://support.microsoft.com/?kbid=887459
[4] http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/THCMCh04.asp
[5] mailto:dab@ct.de
[6] http://www.microsoft.com/security/incident/aspnet.mspx
[7] http://www.microsoft.com/downloads/details.aspx?familyid=DA77B852-DFA0-4631-AAF9-8BCC6C743026&displaylang=en
[8] http://support.microsoft.com/?kbid=887289

Copyright © 2004 Heise Medien