OT - Microsoft anuncia la investigación de un problema en ASP.NET

09/10/2004 - 04:48 por Franco Figún | Informe spam
Sabin esto?
Saludos

-
Hispasec - una-al-día 08/10/2004
Todos los días una noticia de seguridad www.hispasec.com
-

Microsoft anuncia la investigación de un problema en ASP.NET


Microsoft está investigando una vulnerabilidad sobre la que han sido
informados que afectaría a la plataforma ASP.NET. La vulnerabilidad
en la tecnología ASP.NET de Microsoft puede ser utilizada por un
atacante para acceder a áreas protegidas mediante contraseña alterando
la URL.

Este problema es específico de ASP.NET, no afecta a ASP y podría
deberse a que dicha plataforma no realiza correctamente el proceso de
canonización de algunas URLs. El problema afecta a los sitios web que
usen cualquier versión de esta plataforma sobre Windows 2000, 2000
Server, XP Professional y 2003 Server.

Aunque la información proporcionada por el momento es más bien escasa,
cabe señalar que no es habitual que Microsoft adelante información
sobre vulnerabilidades, lo que levanta las sospechas sobre la gravedad
del problema. Todo indica que la vulnerabilidad debe ser fácil de
explotar, en la que bastaría modificar o añadir un carácter en la URL
para permitir el acceso a contenidos sin autorización.

El artículo del Knowledge Base 887459 ("Programmatically Checking for
Canonicalization Issues with ASP.NET") describe formas de añadir
mecanismos adicionales de protección contra problemas de este tipo,
por lo que se recomienda su lectura y aplicación en los programas que
pudieran verse afectados. La dirección de dicho artículo es la
siguiente: http://support.microsoft.com/?kbidˆ7459

Aunque todos los detalles del problema aun están por desvelar,
Microsoft ha adelantado información de seguridad en su web, además de
publicar un módulo HTTP de ASP.NET que los administradores de sitios
web pueden aplicar a su servidor web. Este módulo protegerá las
aplicaciones ASP.NET contra este nuevo problema.

La dirección para descargar este módulo (de 295 KB) es la siguiente:
http://download.microsoft.com/downl...Module.msi

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2176/comentar

Más información:

What You Should Know About a Reported Vulnerability in Microsoft
ASP.NET
http://www.microsoft.com/security/i...spnet.mspx

FF
www.francofigun.com.ar
Yahoo MSN: frankofm@yahoo.com.ar
ICQ: 314408886

FF
www.francofigun.com.ar
Yahoo MSN: frankofm@yahoo.com.ar
ICQ: 314408886
 

Leer las respuestas

#1 Jose Luis Manners
11/10/2004 - 17:23 | Informe spam
Si, gracias: http://blogs.geekdojo.net/jmanners/.../3337.aspx

Saludos,

Jose Luis Manners, MCP
http://blogs.geekdojo.net/jmanners

"Encuentra felicidad en tu trabajo o nunca serás feliz."
Cristóbal Colón

"Franco Figún" wrote in message
news:
Sabin esto?
Saludos

-
Hispasec - una-al-día 08/10/2004
Todos los días una noticia de seguridad www.hispasec.com
-

Microsoft anuncia la investigación de un problema en ASP.NET


Microsoft está investigando una vulnerabilidad sobre la que han sido
informados que afectaría a la plataforma ASP.NET. La vulnerabilidad
en la tecnología ASP.NET de Microsoft puede ser utilizada por un
atacante para acceder a áreas protegidas mediante contraseña alterando
la URL.

Este problema es específico de ASP.NET, no afecta a ASP y podría
deberse a que dicha plataforma no realiza correctamente el proceso de
canonización de algunas URLs. El problema afecta a los sitios web que
usen cualquier versión de esta plataforma sobre Windows 2000, 2000
Server, XP Professional y 2003 Server.

Aunque la información proporcionada por el momento es más bien escasa,
cabe señalar que no es habitual que Microsoft adelante información
sobre vulnerabilidades, lo que levanta las sospechas sobre la gravedad
del problema. Todo indica que la vulnerabilidad debe ser fácil de
explotar, en la que bastaría modificar o añadir un carácter en la URL
para permitir el acceso a contenidos sin autorización.

El artículo del Knowledge Base 887459 ("Programmatically Checking for
Canonicalization Issues with ASP.NET") describe formas de añadir
mecanismos adicionales de protección contra problemas de este tipo,
por lo que se recomienda su lectura y aplicación en los programas que
pudieran verse afectados. La dirección de dicho artículo es la
siguiente: http://support.microsoft.com/?kbidˆ7459

Aunque todos los detalles del problema aun están por desvelar,
Microsoft ha adelantado información de seguridad en su web, además de
publicar un módulo HTTP de ASP.NET que los administradores de sitios
web pueden aplicar a su servidor web. Este módulo protegerá las
aplicaciones ASP.NET contra este nuevo problema.

La dirección para descargar este módulo (de 295 KB) es la siguiente:



http://download.microsoft.com/downl...Module.msi

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2176/comentar

Más información:

What You Should Know About a Reported Vulnerability in Microsoft
ASP.NET
http://www.microsoft.com/security/i...spnet.mspx

FF
www.francofigun.com.ar
Yahoo MSN:
ICQ: 314408886

FF
www.francofigun.com.ar
Yahoo MSN:
ICQ: 314408886


Preguntas similares