Zugriffsbeschränkung in Microsofts ASP .NET leicht umgehbar

Sicherheitsleck in allen Versionen von ASP .NET unter Microsofts IIS

Durch eine leichte Abänderung einer URL lässt sich eine sonst zwingend erforderliche Autorisierungsabfrage von ASP .NET umgehen, so dass ein Angreifer unberechtigten Zugang auf womöglich vertrauliche Informationen erhält. Das Sicherheitsloch betrifft alle Versionen von ASP .NET unter Microsofts IIS - bislang steht noch kein Patch bereit, aber Administratoren können sich durch ein spezielles Modul für ASP. NET gegen etwaige Angriffe schützen.

Anzeige

Das Sicherheitsloch in ASP .NET gestattet es einem Angreifer, durch Austausch der in URLs üblichen Schrägstriche nach vorne (Slash) durch einen Schrägstrich nach hinten (Backslash) gefolgt von einem Leerzeichen eine aktivierte Zugriffsbeschränkung zu umgehen. So können Angreifer auf geschützte Verzeichnisse auf einem Webserver zugreifen, sofern darauf eine anfällige Version von ASP .NET zum Einsatz kommt.

Offenbar sind alle Versionen von ASP .NET unter Microsofts IIS von dem Sicherheitsrisiko betroffen. Einen Patch will Microsoft bereitstellen, hat diesen aber noch nicht fertig. So lange kann man einen Angriff verhindern, indem man ein HTML-Modul für ASP .NET installiert, das die Umgehung der Zugriffsbeschränkung unterbindet.

Kommentarübersicht
Re: Zugriffsbeschränkung in Microsofts ASP .NET...
rue25 03. Feb 2006

hier muss man unterscheiden in der autorisierung durch die config. in der config werden...

Re: Daneben - nicht richtig recherchiert
Oliver L. 08. Okt 2004

Ich kann's nur wiederholen (und hab extra noch mal für dich recheriert): http://silverstr...

Daneben
Nicht Olli 08. Okt 2004

Leider völlig daneben, der Bug könnte schon länger genutzt worden sein, ist aber...

nicht richtig recherchiert?
Oliver L. 08. Okt 2004

Also soweit ich gelesen habe (vor einigen Tagen, in einem anderen Newsletter), betrifft...

haaaaa!!!
IhrWunschnameKo... 08. Okt 2004

Der ISS ist reine Realsatiere! Ich habe nie so viel Spaß mit einem System gehabt, wie mit...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. IT Manager (m/w)
    Seaarland Shipmanagement GmbH & Co. KG, Hamburg (Reisebereitschaft)
  2. Java-Entwickler (m/w) - Bereich ERP
    HALTEC Hallensysteme GmbH, Korntal-Münchingen
  3. Software Engineer (m/w)
    PTV Planung Transport Verkehr AG, Karlsruhe
  4. Java Web Developer Backend (SQLServer) im M-Commerce (m/w)
    über HRM CONSULTING GmbH, Berlin

 

Detailsuche

Folgen Sie uns
       
Videos
Catherine - Trailer (Europastart) Catherine - Trailer (Europastart)
Meistgelesen
  1. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro
  2. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben
  3. Nortel Networks

    Nortel war fast zehn Jahre lang gehackt
  4. Unity Technologies

    Bessere Grafik und KI mit Unity 3.5 verfügbar
  5. Abmahnabzocke

    Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 200 | letzter Beitrag 14.02. 22:07

  3. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 194 | letzter Beitrag 14.02. 13:50

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 117 | letzter Beitrag 14.02. 12:39

  5. Spielebranche: Diskussion über "stinkende Gamer"

    Kommentare: 101 | letzter Beitrag 02:39 Uhr

Mehr

Ticker
  1. Adobe

    Photoshop CS6 mit Content-Aware Move

  2. Google

    Wir haben den größten DNS-Dienst

  3. Lensbaby

    Teleobjektiv mit absichtlicher Unschärfe

  4. Smartphone-App

    Remove löscht störende Menschen im Bild

  5. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro

  6. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

  7. TZ77XE4

    Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

  8. Unity Technologies

    Bessere Grafik und KI mit Unity 3.5 verfügbar

  9. Fifa Street

    Last Man Standing auf dem Bolzplatz

  10. Isis Web Browser

    Neuer Browser für HPs WebOS

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Nasa
IBM-Mainframe: Nasa schaltet letzten Großrechner ab
IBM-Mainframe
Nasa schaltet letzten Großrechner ab

Die Nasa hat den letzten IBM-Mainframe abgeschaltet. Damit gehe eine Rechnerära bei der Nasa zu Ende, schreibt deren IT-Chefin.

  1. Grail Nasa veröffentlicht Video von der Rückseite des Mondes
PSVita
Test PS Vita: Ausstattungswunder mit Speicherproblem
Test PS Vita
Ausstattungswunder mit Speicherproblem

Zwei Analogsticks und starke Grafik, Berührungs- und Bewegungssteuerung, UMTS und Bluetooth: Sony Computer Entertainment packt in den Nachfolger der Playstation Portable so gut wie alles, was irgendwie Sinn ergibt - nur Speicher etwa für Savegames fehlt der PS Vita von Haus aus.

  1. Playstation Network Umbenennung der Konten und neue Firmware
Club-Mate
Club-Mate: Hack fürs Hirn
Club-Mate
Hack fürs Hirn

Es sprudelt, schäumt und schmeckt - nicht jedem. Macht nichts: Club-Mate ist Kult und aus der Hackerkultur nicht mehr wegzudenken. Wie es dazu kommen konnte, erzählt das Buch Hackerbrause.

  1. Retro-Gnome Cinnamon 1.2 stabilisiert API und Desktop
  2. Linux Mint Cinnamon wird wohl Standarddesktop
  3. 28C3 Hacker hinter feindlichen Linien
Forumsbeiträge »
  1. Proview Technology Ausfuhrverbot soll Apple von iPad-Herstellern abschneiden

    am besten

    jajaja | 08:56

  2. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    Re: Ekelhaft

    D-G | 08:51

  3. Proview Technology Ausfuhrverbot soll Apple von iPad-Herstellern abschneiden

    Re: China und Taiwan

    abcdewi | 08:49

  4. Paypal Nutzern von Kino.to drohen Strafverfahren

    wer Filme in so schlechter Qualität schaut ist...

    Eurit | 08:32

  5. Tim Schafer 40.000 US-Dollar für einen Konsolenpatch

    Re: Genial, weg mit den Publishern!

    Schildpatt | 08:19

Ticker »
  1. Adobe Photoshop CS6 mit Content-Aware Move

    08:55

  2. Google Wir haben den größten DNS-Dienst

    08:33

  3. Lensbaby Teleobjektiv mit absichtlicher Unschärfe

    08:17

  4. Smartphone-App Remove löscht störende Menschen im Bild

    08:13

  5. Radeon HD 7770 und 7750 im Test Die Grafikkarte mit 1 GHz für 159 Euro

    06:01

  6. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    18:20

  7. TZ77XE4 Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

    18:13

  8. Unity Technologies Bessere Grafik und KI mit Unity 3.5 verfügbar

    17:41

Zum Artikel