Pozor na bezpečnostní chybu v ASP.NET !!!

Jak jste již možná zaregistrovali, byla objevena chyba v použití kryptografických knihoven ze strany ASP.NET, která za určitých okolností umožňuje zjistit obsah konfiguračního souboru webu. Jedná se o poměrně závažnou chybu. Na oficiálním fixu se pracuje, do jeho vydání se doporučuje zabezpečit web pomocí konfiguračních změn.

“Oficiální” informace lze nalézt na blogu Scotta Guthrieho:

• https://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
• https://weblogs.asp.net/scottgu/archive/2010/09/20/frequently-asked-questions-about-the-asp-net-security-vulnerability.aspx

Problému se věnuje též Michal Valášek (samozřejmě v češtině), který rovněž připravil řešení v podobě globálního “ochranného” modulu ASP.NET:

• https://www.aspnet.cz/articles/298-kriticka-bezpecnostni-chyba-v-asp-net
• https://www.aspnet.cz/articles/299-modul-pro-jednoduchy-workaround-bezpecnostni-chyby-v-asp-net

Věnujte této chybě zvýšenou pozornost !!!

Michael