Tre patch per ASP.NET

di Daniele Bochicchio, in ASP.NET, mercoledì 11 luglio 2007 ore 09.00

Archiviato in: .NET Framework, .NET Framework 2.0, ASP.NET, Security

Microsoft ha rilasciato tre patch per ASP.NET attraverso un bulletin, che corregge tre problemi.

Uno un po' più grave consente, se si fa girare il sito web con un utente con privilegi elevati, di ravanare nel disco del server, spiegato qui ed uno sul PE (qui) e nel JIT-er (qui) che sfruttando i privilegi dell'utente con cui gira ASP.NET (che si sa, è tradizionalmente un administrator...) consente di creare utenti o fare altre cosette simpatiche in base ai privilegi. Le versioni di ASP.NET affette sono la 1.0, la 1.0 e la 2.0. Ovviamente, dato che il .NET Framework 3.0 non ha ASP.NET, questa versione del .NET Framework ne è immune.

Senza ripetere ancora una volta le solite cose, tipo che ogni sito web ed ogni application pool devono e, sottolineo, devono avere un utente esclusivo e non condividerne un solo, con le ACL appositamente impostate, per difendersi, come è ovvio che sia, basta applicare da subito le patch.

• .NET Framework 4.0 beta 1: ASP.NET MVC

• .NET Framework 4.0 beta 1: ASP.NET 4.0

• Il primo whitepaper su ASP.NET 4.0 beta 1

• Fix per il .NET Framework 3.5 SP1

• Dynamic Data Control, buona la seconda

• Installare ASP.NET ed i tool in un colpo solo

• .NET Framework 4.0 beta 1: ASP.NET MVC
• HTML 5 vs RIA? Niente di nuovo