Sicherheitslücke in ASP.Net ermöglicht Datendiebstahl

22.09.2010

Angreifer können Administrator-Rechte erlangen und geschützte Dateien lesen.

 

Auf der argentinischen Konferenz Ekoparty haben Hacker eine Sicherheitslücke in Microsofts ASP.Net vorgeführt. Juliano Rizzo und Thai Duong demonstrierten, wie sich ein Fehler in ASP.Net dazu verwenden lässt, Session Cookies oder andere verschlüsselte Daten zu lesen. Im weiteren können Angreifer Administrator-Rechte der betroffenen Webanwendungen erlangen und geschützte Dateien wie beispielsweise "web.config" lesen.

Betroffen sind alle Versionen von ASP.Net auf Windows XP Service Pack 3, Server 2003 bis 2008 R2 und Windows 7, genauso wie IIS und Sharepoint Server. Mehr Informationen zu der Sicherheitslücke gibt das Microsoft Security Advisory (2416728) , das auch einen Workaround beschreibt, bis Microsoft die Lücke mit einem Patch schließen wird. Außerdem hat Microsoft zu dem Problem eigens ein Forum eingerichtet. Mehr Informationen finden sich auch im Blog von Microsoft-Mitarbeiter Scott Guthrie . In einem Technet-Blog gibt es ein Tool, das testet, ob eine Site von der Lückeb betroffen ist.

Security , Windows

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Microsoft patcht Sicherheitslücke in ASP.Net

Microsoft wartet nicht bis zum nächsten Patch-Day, sondern behebt gleich den kürzlich bekannt gewordenen Fehler.

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing