Zugriffsbeschränkung in Microsofts ASP .NET leicht umgehbar
Sicherheitsleck in allen Versionen von ASP .NET unter Microsofts IIS
Durch eine leichte Abänderung einer URL lässt sich eine sonst zwingend erforderliche Autorisierungsabfrage von ASP .NET umgehen, so dass ein Angreifer unberechtigten Zugang auf womöglich vertrauliche Informationen erhält. Das Sicherheitsloch betrifft alle Versionen von ASP .NET unter Microsofts IIS - bislang steht noch kein Patch bereit, aber Administratoren können sich durch ein spezielles Modul für ASP. NET gegen etwaige Angriffe schützen.
Das Sicherheitsloch in ASP .NET gestattet es einem Angreifer, durch Austausch der in URLs üblichen Schrägstriche nach vorne (Slash) durch einen Schrägstrich nach hinten (Backslash) gefolgt von einem Leerzeichen eine aktivierte Zugriffsbeschränkung zu umgehen. So können Angreifer auf geschützte Verzeichnisse auf einem Webserver zugreifen, sofern darauf eine anfällige Version von ASP .NET zum Einsatz kommt.
Offenbar sind alle Versionen von ASP .NET unter Microsofts IIS von dem Sicherheitsrisiko betroffen. Einen Patch will Microsoft bereitstellen, hat diesen aber noch nicht fertig. So lange kann man einen Angriff verhindern, indem man ein HTML-Modul für ASP .NET installiert, das die Umgehung der Zugriffsbeschränkung unterbindet.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed






hier muss man unterscheiden in der autorisierung durch die config. in der config werden...
Ich kann's nur wiederholen (und hab extra noch mal für dich recheriert): http://silverstr...
Leider völlig daneben, der Bug könnte schon länger genutzt worden sein, ist aber...
Also soweit ich gelesen habe (vor einigen Tagen, in einem anderen Newsletter), betrifft...