Security Update MS06-033

Questa volta il bug coinvolge il framework 2.0, e mi raccomando fare l'upgrade molto rapidamente è caldamente consigliato.

Il problema è parecchio serio in quanto permette a un utente web di bypassare il meccanismo di sicurezza e di avere accesso non autorizzato agli oggetti presenti nella cartella Application, fortunatamente la vulnerabilità non da diritti in esecuzione e non permette una privilege escalation ma permette l'accesso a dati sensibili in grado di compromettere il sistema.

Per maggiori dettagli:

http://www.microsoft.com/technet/security/Bulletin/MS06-033.mspx
http://www.securityfocus.com/bid/18920/info
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1300

Nella stessa categoria
    Nessuna risorsa collegata

    Commenti
    Daniele Bochicchio scrive:
    Re: Security Update MS06-033

    Christian Paparelli wrote:
    agli oggetti presenti nella cartella Application, fortunatamente la

    veramente sono i file non-standard in /App_Data/, perchè le estensioni di SQL Server Express, .config, .aspx e più in generale quelle mappate su ASP.NET sono già protette.
    se aggiungi un file .ciccio allora c'è questo problema e la patch lo risolve bloccando tutto

    Continua »»» | Rispondi »»»
    12/07/2006 ore 10.45 | 3 risposte
    »»»» ITHost scrive:
    Re: Security Update MS06-033

    mi hai preceduto in quanto stavo facendo dei controlli, e come dici correttamente le estensioni sono protette (sempre e solo con asp.net 2.0)

    Una soluzione proposta e che IMHO trovo la migliore a livello di sicurezza è quella di rimuovere l'attributo READ nella folder a livello di IIS ma questo impedisce il debug da remoto e la reflection, e per un server di produzione ci può stare ma per un server di sviluppo non è proprio la soluzione ottimale

    Continua »»» | Rispondi »»»
    12/07/2006 ore 11.38 | 1 risposta
    Daniele Bochicchio scrive:
    Re: Security Update MS06-033

    ITHost wrote:
    Una soluzione proposta e che IMHO trovo la migliore a livello di sicurezza è quella di rimuovere l'attributo READ nella folder a livello di IIS ma questo impedisce il debug da remoto e la reflection, e per un server di produzione ci può stare ma per un server di sviluppo non è proprio la soluzione ottimale

    ancora meglio fare come ho sempre fatto io cioè, mettere questi file fuori dal percorso raggiungibile via web. e questa cosa funziona bene in sviluppo e produzione

    Continua »»» | Rispondi »»»
    12/07/2006 ore 13.02 | 1 risposta
    imperugo scrive:
    Re: Security Update MS06-033

    Confermo anche io faccio così

    Continua »»» | Rispondi »»»
    12/07/2006 ore 14.31

    Aggiungi un nuovo commento »»»
    Per inserire un commento, devi registrarti alla nostra community.

    © 1998-2008 - IT-ch - Il blog di Christian Paparelli
    Feedback
    4 commenti
    Autore: Christian Paparelli
    Data: mercoledì 12 luglio 2006 ore 09.46

    Categorie: IIS
    Tags: , , , , , ,
    Requisiti: ASP.NET 2.0
    Stampa Stampa Download

    TagCloud
    .NET Framework, .NET Framework 3.0, .NET Framework 3.5, ASP, ASP.NET, ASP.NET 2.0, ASP.NET 3.5, Database, IIS, ISAPI, LogParser, MySQL, Off Topic, Office, Regular Expression, Scripting, Security, Silverlight, SQL Server, Visual Studio, Windows Client, Windows Server, Windows Vista, XAML, XML
    More blogs about aspitalia winfxitalia .NET Framework, .NET Framework 3.0, .NET Framework 3.5, ASP, ASP.NET, ASP.NET 2.0, ASP.NET 3.5, Database, IIS, ISAPI, LogParser, MySQL, Off Topic, Office, Regular Expression, Scripting, Security, Silverlight, SQL Server, Visual Studio, Windows Client, Windows Server, Windows Vista, XAML, XML
    BLOG INFO
    • Post: 97
    • Commenti: 52
    • TrackBacks: 12
    • Feed blog e contenuti tecnici: RSS
    • Feed blog: RSS Atom OPML
    CATEGORIE
    I PIÙ LETTI DEL MESE
    IN EVIDENZA