Zugriffsbeschränkung in Microsofts ASP .NET leicht umgehbar

Sicherheitsleck in allen Versionen von ASP .NET unter Microsofts IIS. Durch eine leichte Abänderung einer URL lässt sich eine sonst zwingend erforderliche Autorisierungsabfrage von ASP .NET umgehen, so dass ein Angreifer unberechtigten Zugang auf womöglich vertrauliche Informationen erhält. Das Sicherheitsloch betrifft alle Versionen von ASP .NET unter Microsofts IIS - bislang steht noch kein Patch bereit, aber Administratoren können sich durch ein spezielles Modul für ASP. NET gegen etwaige Angriffe schützen.

8. Oktober 2004 um 11:09 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Das Sicherheitsloch in ASP .NET(öffnet im neuen Fenster) gestattet es einem Angreifer, durch Austausch der in URLs üblichen Schrägstriche nach vorne (Slash) durch einen Schrägstrich nach hinten (Backslash) gefolgt von einem Leerzeichen eine aktivierte Zugriffsbeschränkung zu umgehen. So können Angreifer auf geschützte Verzeichnisse auf einem Webserver zugreifen, sofern darauf eine anfällige Version von ASP .NET zum Einsatz kommt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Teamleiter*in Anwendungsentwicklung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)

Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Wissenschaftl. Mitarbeiter*in für die Beratung zur Personalentwicklung von dual Studierenden (Bachelor) Hochschule Osnabrück, Lingen (Ems) (öffnet im neuen Fenster)

Ausbildung Fachinformatiker:innen Anwendungsentwicklung (d/m/w) Deutsche Bank AG, Frankfurt am Main (öffnet im neuen Fenster)

Stellvertretende Fachbereichsleitung (m/w/d) mit Schwerpunkt Technik (Informatiker, Wirtschaftsinformatiker (m/w/d) o. ä.) Kreisausschuss des Hochtaunuskreises, Bad Homburg vor der Höhe (öffnet im neuen Fenster)

IT-Administratorin oder IT-Administrator (m/w/d) Gemeinde Trittau, Trittau (öffnet im neuen Fenster)

IT-Service Manager/in (m/w/d) Erzbistum Köln, Köln (öffnet im neuen Fenster)

Head of Department (m/w/d) INIT Group, Karlsruhe (öffnet im neuen Fenster)

Offenbar sind alle Versionen von ASP .NET unter Microsofts IIS von dem Sicherheitsrisiko betroffen. Einen Patch will Microsoft bereitstellen, hat diesen aber noch nicht fertig. So lange kann man einen Angriff verhindern, indem man ein HTML-Modul(öffnet im neuen Fenster) für ASP .NET installiert, das die Umgehung der Zugriffsbeschränkung unterbindet.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Internet-Attacke auf den Internet Explorer vorerst abgewehrt

Patch für den Internet Explorer lässt aber weiter auf sich warten. Wie Microsoft in einer Presseverlautbarung bekannt gab, konnte größerer Schaden durch die am Freitag bekannt gewordene erhöhte Gefährdung durch den Webseiten-Besuch mit dem Internet Explorer verhindert werden, indem der Server zur Einschleusung von schadhafter Software deaktiviert wurde. Ferner nannte Microsoft weitere Details, ohne jedoch den ausstehenden Patch für den Internet Explorer nachzureichen.

Derzeit große Gefahr beim Surfen mit dem Internet Explorer

Gehackte Webserver schleusen Programmcode auf fremde Systeme. Wie das US-CERT in einer aktuellen Mitteilung bekannt gab, wurden weltweit mehrere Webserver gehackt, über die schädlicher Programmcode beim Aufruf von Webseiten mit dem Internet Explorer und aktiviertem Active-Scripting auf fremde Systeme geschleust werden. Das US-CERT empfiehlt Administratoren des betroffenen Internet Information Server 5 von Microsoft, ihre Server auf verdächtige Informationen zu untersuchen.

Exploit-Code für Microsofts April-Patch kursiert im Internet

Redmond empfiehlt dringende Einspielung der April-Patches. In einer aktuellen Mitteilung warnt Microsoft Kunden vor einem Exploit für den Internet Information Services (IIS), der eine im April 2004 bekannte PCT-/SSL-Sicherheitslücke ausnutze. Darüber könne ein Angreifer Programmcode auf einem fremden System ausführen - entsprechende Patches veröffentlichte Microsoft Mitte April 2004 - also in diesem Monat.

Relevante Themen