• IT-Karriere:
  • Services:

Zugriffsbeschränkung in Microsofts ASP .NET leicht umgehbar

Sicherheitsleck in allen Versionen von ASP .NET unter Microsofts IIS

Durch eine leichte Abänderung einer URL lässt sich eine sonst zwingend erforderliche Autorisierungsabfrage von ASP .NET umgehen, so dass ein Angreifer unberechtigten Zugang auf womöglich vertrauliche Informationen erhält. Das Sicherheitsloch betrifft alle Versionen von ASP .NET unter Microsofts IIS - bislang steht noch kein Patch bereit, aber Administratoren können sich durch ein spezielles Modul für ASP. NET gegen etwaige Angriffe schützen.

Artikel veröffentlicht am ,

Das Sicherheitsloch in ASP .NET gestattet es einem Angreifer, durch Austausch der in URLs üblichen Schrägstriche nach vorne (Slash) durch einen Schrägstrich nach hinten (Backslash) gefolgt von einem Leerzeichen eine aktivierte Zugriffsbeschränkung zu umgehen. So können Angreifer auf geschützte Verzeichnisse auf einem Webserver zugreifen, sofern darauf eine anfällige Version von ASP .NET zum Einsatz kommt.

Offenbar sind alle Versionen von ASP .NET unter Microsofts IIS von dem Sicherheitsrisiko betroffen. Einen Patch will Microsoft bereitstellen, hat diesen aber noch nicht fertig. So lange kann man einen Angriff verhindern, indem man ein HTML-Modul für ASP .NET installiert, das die Umgehung der Zugriffsbeschränkung unterbindet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

rue25 03. Feb 2006

hier muss man unterscheiden in der autorisierung durch die config. in der config werden...

Oliver L. 08. Okt 2004

Ich kann's nur wiederholen (und hab extra noch mal für dich recheriert): http://silverstr...

Nicht Olli 08. Okt 2004

Leider völlig daneben, der Bug könnte schon länger genutzt worden sein, ist aber...

Oliver L. 08. Okt 2004

Also soweit ich gelesen habe (vor einigen Tagen, in einem anderen Newsletter), betrifft...

IhrWunschnameKo... 08. Okt 2004

Der ISS ist reine Realsatiere! Ich habe nie so viel Spaß mit einem System gehabt, wie mit...


Folgen Sie uns
       


iPhone 12 und iPhone 12 Pro - Fazit

Beim iPhone 12 und 12 Pro hat sich Apple vom bisherigen Design verabschiedet - im Test überzeugen Verarbeitung, Kamera und Display.

iPhone 12 und iPhone 12 Pro - Fazit Video aufrufen
Gemanagte Netzwerke: Was eine Quasi-Virtualisierung von WANs und LANs bringt
Gemanagte Netzwerke
Was eine Quasi-Virtualisierung von WANs und LANs bringt

Cloud Managed LAN, Managed WAN Optimization, SD-WAN oder SD-LAN versprechen mehr Durchsatz, mehr Ausfallsicherheit oder weniger Datenstau.
Von Boris Mayer


    Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
    Next-Gen
    Tolle Indiegames für PS5 und Xbox Series X/S

    Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
    Von Rainer Sigl

    1. Indiegames-Rundschau Raumschiffknacker im Orbit
    2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
    3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen

    PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
    PC-Hardware
    Warum Grafikkarten derzeit schlecht lieferbar sind

    Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
    Eine Analyse von Marc Sauter

    1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
    2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10

      •  /