System Monitor

 

Im System-Monitor bleiben Sie stets auf dem Laufenden, was technische Änderungen an unseren Hostingsystemen betrifft. Ungeplante Ausfälle, geplante Wartungsarbeiten oder sonstige Hinweise für den Betrieb Ihres Hostingpaketes - der System-Monitor hält Sie auf dem Laufenden.

 

19.09.2010
Sicherheitsloch in ASP.Net Anwendungen entdeckt

Zwei Hacker haben am vergangenen Freitag auf einer Konferenz in Südamerika  ein Sicherheitsproblem in ASP.Net enthüllt - am Beispiel von DotNetNuke haben sie sich innerhalb weniger Minuten sich damit als Superuser ("Host") einloggen und weitere Software ausführen können. Betroffen sind fast alle ASP.Net Anwendungen.

Microsoft Vice President Scott Gutthrie hat in seinem Blog einen Workaround beschrieben, mit dem die Verletzbarkeit weitgehend verhindert werden kann, unser DotNetNuke Sicherheitsexperte Cathal Conolly hat die nowendigen Schritte für DotNetNuke Sites zusammengestellt, die ich hier kurz übersetzen will:

 
Betreiber einer DotNetNuke-Installation sollen folgende Aktionen schnellstmöglicht ausführen:
1. In den DotNetNuke Systemeinstellungen prüfen, welche .Net Version verwendet wird.

 
a. Für Framework 2.0 und 3.5
   2. in der Web.config die Zeile suchen die mit <customErrors beginnt und durch folgende Zeile ersetzen:
   <customErrors mode="On" defaultRedirect="~/error.html" />
   3. Im Rootverzeichnis eine Datei error.html anlegen (Muster siehe Link)
b. Für Framework 3.5 SP 1 und 4.0:
   2.  in der Web.config die Zeile suchen die mit <customErrors beginnt und durch folgende Zeile ersetzen:
   <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />
 
   3.  Im Rootverzeichnis eine Datei error.aspx anlegen, gemäß Muster siehe Link.

 
Die ASP.Net-Entwickler bei Microsoft arbeiten derzeit mit Hochdruck an einem Fix, um die Lücke dauerhaft zu schließen.

Bitte sichern Sie dringend Ihre Anwendung entsprechen den o.g. Anweisungen ab. Für Kunden mit einem aktiven Wartungsvertrag haben wir die Absicherung bereits vorgenommen.

Hier noch der versprochene Link mit den Beispielfehlerseiten: Error.zip.

Ihr Team von dnnwerk

Zurück