持续更新:关于最新 ASP.NET 漏洞
时间:2010-09-28 来源:MSDN 中文网站
自从9月18日,Scott 的博客中公布了ASP.NET的一个最新的漏洞后,园子里的朋友们已经深度分析和发表了一些文章,比如 详解ASP.NET的最新安全漏洞,Padding Oracle攻击原理及其他
开这个帖子,是想将Scott的最新更新,翻译于此,我们将在第一时间将更新的信息发布在这里,供大家参考。
原文:http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx
精简译文:
我们正在积极地开发安全更新来解决这个问题。我们正在开发和测试利用 Windows Update 渠道来进行对更广泛的升级。一旦完成我们会马上通知大家。
Revised Workaround and Additional URLScan Step
在 第一篇博客中,我讲到您可以立即应用一种方法来保护您的站点和应用程序不受到此类攻击。今天,我们更新了那个方法,并且提供额外的步骤。(原先的步骤)
这个步骤可以在服务器端实现,只需要不到5分钟来完成。值得注意的是,这个步骤并不能替代原来方法,需要您还是先用以前的方法,这是在您实现那些步骤之后,再去应用它。下面是实现说明。
Install and Enable IIS URLScan with a Custom Rule
如果您还没有在IIS上安装 IIS URLScan module 请先下载并安装,仅仅会花一分钟的时间
- x86 Version
- x64 Version
Add an Addition URL Scan Rule
当 URLScan 安装完成后,请打开和修改 UrlScan.ini
- %windir%\system32\inetsrv\urlscan\UrlScan.ini
在 UrlScan.ini 的底部,您可以找到 [DenyQueryStringSequences] 区。在区域下加 “aspxerrorpath=” 然后保存文件
[DenyQueryStringSequences] aspxerrorpath=
这个功能是为了禁用 URLs 中有 “aspxerrorpath=” 查询字符串去访问您的ASP.NET应用程序,并且web服务器返回 HTTP 错误。
保存之后,运行 “iisreset” (管理员权限下)使其生效。为了查看是否生效,您用包含那个查询字符串的URL,可以访问您的站点或者应用程序,看看是否有 HTTP 错误从IIS中发出。
总结
如果您已经应用了原先的步骤,请加上这一步!当安全更新发布的时候,你不用再应用这些步骤,但您可以去这里了解更多信息
- Microsoft Security Advisory 2416728 (Updated 9/24)
- Understanding the ASP.NET Vulnerability
- My Initial Blog Post
- My Frequently Asked Questions Post
- SharePoint Team Blog Post
- Microsoft Security Response Center Blog Post
- Microsoft Security Response Center Update Post