System Monitor

 

Im System-Monitor bleiben Sie stets auf dem Laufenden, was technische Änderungen an unseren Hostingsystemen betrifft. Ungeplante Ausfälle, geplante Wartungsarbeiten oder sonstige Hinweise für den Betrieb Ihres Hostingpaketes - der System-Monitor hält Sie auf dem Laufenden.

 

21.09.2010 | Ankündigung
Bereitstellung Workaround Sicherheitslücke

Wie in einer unserer letzten Ankündigungen bereits ausgeführt, gibt es derzeit ein ernsthaftes Sicherheitsloch, alle ASP.Net Anwendungen betreffend. Während Microsoft noch an einem endgültigen Patch arbeitet, haben wir uns entschlossen, die bei uns gehosteten Anwendungen durch einen server-weiten Workaround temporär vor dem Problem zu schützen.

Wir weisen ausdrücklich daruf hin, dass der eingesetzte Workround nicht die endgültige Lösung sein wird. Die eingesetzte Lösung hat einen nicht ganz idealen Nebeneffekt, begründet in der Funktionsweise des Patches einerseits und der Sicherheitslücke selbst andererseits:

Durch den Patch werden bis auf weiteres alle Fehlermeldungen aller ASP.Net Anwednungen durch einen speziellen Fehlerbehandler abgefangen der dem Browser einen Fehler mit dem Status "404 - Page not found" zurückliefert. Es werden dadurch bedingt keinerlei Fehlermeldunge mehr in das Ereignisprotokoll geschrieben und es ist damit bis auf weiteres nicht mehr ohne weiteres möglich, fehlerhafte Anwendungen zu überprüfen.

Wir gehen davon aus, dass Sie diesen Nebeneffekt tolerieren können - immerhin ist die bekannt gewordene Lücke eines der ernsthaftesten Sicherheitsproblem, die für eine Webseite vorstellbar sind.

Sobald Microsoft einen offiziellen Patch herausgegeben hat, werden wir diesen selbstverständlich einsetzen und unseren Workaround wieder entfernen. Die Installation des Workarounds findet im Rahmen der regulären Upgrades im Laufe des 21.09.2010 am späteren Abend statt.

Mehr Informationen zu dem eingesetzten Patch finden Sie hier.

http://oraclebugfix.codeplex.com/

Informationen zu dem Sicherheiitsproblem finden Sie hier:

http://www.microsoft.com/technet/security/advisory/2416728.mspx