ASP.NET güvenlik açığı

  • Article

(Güncelleme @ 29/10/2010: Aşağıda bahsettiğim güvenlik açığı ile ilgili bir "update" yayınlandı. Detaylar için Faruk Çelik'in https://blogs.msdn.com/b/farukceliktr/archive/2010/09/29/onemli-asp-net-guvenlik-acigi-ile-ilgili-guncellemeler-hazir.aspx adresindeki makalesini ya da https://support.microsoft.com/kb/2418042 bilgi bankası makalesini inceleyebilirsiniz.)

Bugün itibariyle tüm ASP.NET versiyonlarını (1.0 - 4.0) etkileyen bir güvenlik açığı duyuruldu. Bu duyuruya göre, açığın başarılı bir şekilde kullanılması sonucu web.config gibi dosyalara ulaşılabilir ya da ViewState bilgileri / Forms Authentication cookie'leri gibi "encrypted" halde bulunan veriler ele geçirilebilinir.

ASP.NET kullanıcılarının, güvenlik açığı ile ilgili bir güncelleme yayınlanana kadar aşağıdaki makalede anlatılan yöntem ile bu açığın kullanılabilir olmasının önüne geçmelerini önemle tavsiye ediyoruz:

Important: ASP.NET Security Vulnerability
https://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

Konu ile ilgili bir güncelleme yayınlanana kadar kullanılması önerilen yöntem, kısaca, ASP.NET'in <customErrors> özelliğini kullanarak bütün hata mesajları için tek bir hata sayfası gösterilmesidir. Detaylar için yukarıda bahsedilen makaleyi incelemenizi öneriyoruz.

Geçerli olduğu platformlar:

ASP.NET 1.0
ASP.NET 1.1
ASP.NET 2.0
ASP.NET 3.5
ASP.NET 4.0

Referanslar:

Microsoft Security Advisory (2416728)
Vulnerability in ASP.NET Could Allow Information Disclosure
https://www.microsoft.com/technet/security/advisory/2416728.mspx

Important: ASP.NET Security Vulnerability
https://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

--
AMB