Tre patch per ASP.NET
Microsoft ha rilasciato tre patch per ASP.NET attraverso un bulletin, che corregge tre problemi.
Uno un po' più grave consente, se si fa girare il sito web con un utente con privilegi elevati, di ravanare nel disco del server, spiegato qui ed uno sul PE (qui) e nel JIT-er (qui) che sfruttando i privilegi dell'utente con cui gira ASP.NET (che si sa, è tradizionalmente un administrator...) consente di creare utenti o fare altre cosette simpatiche in base ai privilegi. Le versioni di ASP.NET affette sono la 1.0, la 1.0 e la 2.0. Ovviamente, dato che il .NET Framework 3.0 non ha ASP.NET, questa versione del .NET Framework ne è immune.
Senza ripetere ancora una volta le solite cose, tipo che ogni sito web ed ogni application pool devono e, sottolineo, devono avere un utente esclusivo e non condividerne un solo, con le ACL appositamente impostate, per difendersi, come è ovvio che sia, basta applicare da subito le patch.
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
- ASP.NET 5 e ASP.NET MVC 6: le cose da sapere, il 27 febbraio 2015 alle 09:10
- .NET Framework 4.6, .NET Core 5, ASP.NET 4.6 e ASP.NET 5: un po' di chiarezza, il 13 novembre 2014 alle 10:55
- La lunga strada verso la prossima versione di ASP.NET, il 29 settembre 2014 alle 17:24
- Visual Studio 11 beta: le novità di ASP.NET 4.5, l'1 marzo 2012 alle 19:53
- Inside ModelVirtualCasting #10: tutti pazzi per il web mobile, il 5 luglio 2010 alle 18:47
- Inside ModelVirtualCasting #9: Cache con Windows Server AppFabric, il 2 luglio 2010 alle 12:05