ψ【ASP.NETに脆弱性】保護されたコンテンツを漏洩させる恐れ

このエントリーをはてなブックマークに追加
1( ´`ω´)ψ ★

■ASP.NETに脆弱性】保護されたコンテンツを漏洩させる恐れ (04/10/08)

 Webアプリケーションフレームワークの「ASP.NET」に、セキュリティ制限をかいくぐって保護されたはずの
情報を漏洩させる恐れのある脆弱性が存在する。
 マイクロソフトは10月5日、Webアプリケーションフレームワークの「ASP.NET」に、セキュリティ制限を
かいくぐって重要なコンテンツを漏洩させる可能性のある脆弱性が存在することを認め、調査を開始した。

 この脆弱性は、今年9月にセキュリティ関連メーリングリスト「NTBugtraq」で指摘されていたもの。.
NETの認証スキーマに正規化エラーの問題が存在しており、細工を施したURLを送りつけることで、
保護されたディレクトリへのアクセスが可能になるという。本来ならば閲覧されるべきでないコンテンツが表示され、
情報漏洩につながる恐れがある。
 この問題は、Windows 2000/XP、Windows Server 2003とIISを組み合わせ、ASP.NETを用いてコンテンツを
公開しているWebサイトに影響を及ぼす。

 マイクロソフトではパッチ提供に向けた準備を進めているというが、10月8日時点ではまだパッチは公開されていない。
しかし、代替策としてGlobal.asaxファイルにApplication_BeginRequest イベント ハンドラを追加し、URLの文字列チェック
を行うようにASP.NETアプリケーションを修正する方法が公開されているため、この対策を取っておくことが望ましい。

( ´`ω´)つhttp://www.itmedia.co.jp/enterprise/articles/0410/08/news051.html
2( ´`ω´)ψ ★:04/10/08 20:01:22 ID:???

MSの調査
【報告された Microsoft ASP.NET の脆弱性に関する情報】
( ´`ω´)つhttp://www.microsoft.com/japan/security/incident/aspnet.mspx
 
公開日: 2004 年 10 月 5 日 | 更新日: 2004 年 10 月 8 日

影響を受けるソフトウェア
Windows 2000 Professional 上で実行されている ASP.NET
Windows 2000 Server 上で実行されている ASP.NET
Windows XP Professional 上で実行されている ASP.NET
Windows Server 2003 上で実行されている ASP.NET

Application_BeginRequest イベント ハンドラを追加し、URLの文字列チェックを行うように
ASP.NETアプリケーションを修正する方法
【ASP.NET の正規化の問題をプログラムによって確認する方法 】
( ´`ω´)つhttp://support.microsoft.com/?kbid=887459
3名無しさん@お腹いっぱい。:04/10/08 20:04:00 ID:???
>>1
( ´`ω´)ψ乙です
4名無しさん@お腹いっぱい。:04/10/08 21:09:52 ID:qbbXFhJA
なんだよ 今日 Server2003 の立ち上げしようとしてるのに・・・
5名無しさん@お腹いっぱい。:04/10/09 21:51:17 ID:NPWQAd8i
危弱性でいちいちスレ立てんな。一つにまとめろ。
6名無しさん@お腹いっぱい。
( ´`ω´)ψ6