Anúncio – Patch já disponível para correção de vulnerabilidade no ASP.NET

Boa noite a todos !

Para quem não acompanhou, o Microsoft Security Advisor publicou uma vulnerabilidade de segurança que ocorria no ASP.NET (todas as versões). Esta vulnerabilidade explorava o oráculo para geração de chaves, especialmente usadas para criptografar conteúdos do VIEWSTATE. Desta maneira, era possível explorar esta brecha e submeter requisições para o ASP.NET/IIS afim de capturar arquivos de uma aplicação (por exemplo, web.config).

O ScottGu publicou uma série de posts explicando como funcionava esta vulnerabilidade e algumas soluções temporárias. Estas soluções temporárias deveriam ser usadas até o que time publicasse a correção final. Bem, no dia 28 de Setembro, o time do ASP.NET publicou a correção e a disponibilizou via Windows Update.

Importante, todos que utilizem ASP.NET nas suas aplicações (Sharepoint inclusive) devem instalar estes patches. Quem tem aplicação hospedada no Azure, leia o tópico Windows Azure.

Localização dos Patches

Download dos patches: https://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx

Procedimento para atualização via Windows Update: https://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx

Windows Azure

As aplicações ASP.NET hospedadas no Windows Azure também sofriam com esta vulnerabilidade. Desta maneira o time já lançou a versão do Windows Azure Guest OS 1.7 onde já tem esta correção embutida.  É muito importante entrar no portal do Windows Azure e solicitar a migração para esta versão OS. Caso já esteja configurado para upgrade automático, o Windows Azure propagará na sua rede interna o update.

abs
Condé

versão 1.1