Il y a quelques jours, une faille de sécurité importante a été découverte dans la plateforme .Net de Microsoft, plus précisément les application web utilisant ASP.Net. Cette faille touche toutes les version d’ASP.Net de la 1.0 à la 4.0.

Cette vulnérabilité permet à une personne de télécharger des fichiers serveur, tel que Web.config ce qui donne potentiellement accès aux bases de données et autre données sensibles.

Il est vivement conseillé de télécharger le patch que Microsoft vient de publier en suivant les explications décrites ici : http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Cependant si vous ne pouvez pas appliquer le patch tout de suite pour des contraintes client ou autre, une solution de contournement consiste à rediriger toutes les erreurs vers une page statique.

pour se faire, il faut éditer le fichier Web.config et y ajouter les lignes suivantes dans la section <customErrors>

Pour les versions ASP.Net v1.0 à 3.5 :

<configuration>        

   <system.web>

      <customErrors mode="On" defaultRedirect="~/error.html" />

   </system.web>        

</configuration>

Pour les versions ASP.Net 3.5 SP1 à 4.0

<configuration>

   <system.web>

     <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />

   </system.web>

</configuration>

Dans le code behind de la page error.aspx ajoutez le code suivant dans le Page_load() :

   void Page_Load() {
      byte[] delay = new byte[1];
      RandomNumberGenerator prng = new RNGCryptoServiceProvider();

      prng.GetBytes(delay);
      Thread.Sleep((int)delay[0]);

      IDisposable disposable = prng as IDisposable;
      if (disposable != null) { disposable.Dispose(); }
    }