Microsoft vient de combler une vulnerabilité de sa plateforme .Net touchant les applications ASP.Net


     2


Alaa-eddine

Il y a quelques jours, une faille de sécurité importante a été découverte dans la plateforme .Net de Microsoft, plus précisément les application web utilisant ASP.Net. Cette faille touche toutes les version d’ASP.Net de la 1.0 à la 4.0.

Cette vulnérabilité permet à une personne de télécharger des fichiers serveur, tel que Web.config ce qui donne potentiellement accès aux bases de données et autre données sensibles.

Il est vivement conseillé de télécharger le patch que Microsoft vient de publier en suivant les explications décrites ici : http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Cependant si vous ne pouvez pas appliquer le patch tout de suite pour des contraintes client ou autre, une solution de contournement consiste à rediriger toutes les erreurs vers une page statique.

pour se faire, il faut éditer le fichier Web.config et y ajouter les lignes suivantes dans la section <customErrors>

Pour les versions ASP.Net v1.0 à 3.5 :

 

<configuration>        

   <system.web>

      <customErrors mode="On" defaultRedirect="~/error.html" />

   </system.web>        

</configuration>

 

Pour les versions ASP.Net 3.5 SP1 à 4.0

 

<configuration>

   <system.web>

     <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />

   </system.web>

</configuration>

 

Dans le code behind de la page error.aspx ajoutez le code suivant dans le Page_load() :

   void Page_Load() {
      byte[] delay = new byte[1];
      RandomNumberGenerator prng = new RNGCryptoServiceProvider();

      prng.GetBytes(delay);
      Thread.Sleep((int)delay[0]);

      IDisposable disposable = prng as IDisposable;
      if (disposable != null) { disposable.Dispose(); }
    }


 

A lire également

 
  • Merci pour la news.
    Ya petit truc à signaler : la plupart des hébergeurs désactivent les Custom Errors.
    Comment pourront remédier ce problème dans ce cas?

  • Alaa-eddine

    Cette faille date de plusieurs mois, si vous utilisez les dernières versions ou que windows update est activé vous ne devrait pas rencontrer de problème.

    tous les hébergeurs sérieux ont déjà patché leurs plateformes, donc là aussi, pas de risque.