Sicherheitslücke in ASP.Net ermöglicht Datendiebstahl

22.09.2010

Angreifer können Administrator-Rechte erlangen und geschützte Dateien lesen.

 

Auf der argentinischen Konferenz Ekoparty haben Hacker eine Sicherheitslücke in Microsofts ASP.Net vorgeführt. Juliano Rizzo und Thai Duong demonstrierten, wie sich ein Fehler in ASP.Net dazu verwenden lässt, Session Cookies oder andere verschlüsselte Daten zu lesen. Im weiteren können Angreifer Administrator-Rechte der betroffenen Webanwendungen erlangen und geschützte Dateien wie beispielsweise "web.config" lesen.

Betroffen sind alle Versionen von ASP.Net auf Windows XP Service Pack 3, Server 2003 bis 2008 R2 und Windows 7, genauso wie IIS und Sharepoint Server. Mehr Informationen zu der Sicherheitslücke gibt das Microsoft Security Advisory (2416728), das auch einen Workaround beschreibt, bis Microsoft die Lücke mit einem Patch schließen wird. Außerdem hat Microsoft zu dem Problem eigens ein Forum eingerichtet. Mehr Informationen finden sich auch im Blog von Microsoft-Mitarbeiter Scott Guthrie. In einem Technet-Blog gibt es ein Tool, das testet, ob eine Site von der Lückeb betroffen ist.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Microsoft patcht Sicherheitslücke in ASP.Net

Microsoft wartet nicht bis zum nächsten Patch-Day, sondern behebt gleich den kürzlich bekannt gewordenen Fehler.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019