На прошлой неделе я уже писал об уязвимости в ASP.NET.
Мы активно работаем над выпуском обновления безопасности, которое решит проблему, и я сообщу, когда данное обновление будет доступно.
Исправленное временное решение и дополнительный шаг URLScan
В моей предыдущей статье (англ.) я рассмотрел временное решение, которое вы могли сразу применить на ваших сайтах и приложениях, чтобы не дать злоумышленникам воспользоваться уязвимостью. Сегодня, мы исправим его, дополнив еще одной защитной мерой.
Этот дополнительный шаг может быть выполнен на уровне сервера, и его применение займет не более 5 минут. Важно отметить, что этот шаг не заменяет другие, приведенные в первом временном решении, а лишь дополняет их. Ниже приведена инструкция по применению.
Установите и включите IIS URLScan со специальным правилом
Если на вашем IIS веб сервере еще не установлен модуль IIS URLScan, то скачайте и установите его:
Установка займет не более минуты.
Добавьте дополнительное правило URL Scan
Как только URLScan установлен, откройте файл UrlScan.ini для редактирования, который расположен здесь:
%windir%\system32\inetsrv\urlscan\UrlScan.ini
В конце файла UrlScan.ini вы найдете секцию [DenyQueryStringSequences]. Добавьте ниже дополнительную запись “aspxerrorpath=” и сохраните файл:
[DenyQueryStringSequences] aspxerrorpath=
Вышеприведенная запись запрещает URL, которые имеют атрибут “aspxerrorpath=” в строке запроса, и веб-сервер будет возвращать HTTP ошибку для таких URL. Добавление данного правила не даст злоумышленнику возможности различать различные типы ошибок, возникающих на сервере – что поможет блокировать атаки, использующие данную уязвимость.
После сохранения этого изменения, запустите из командной строки “iisreset” (под администратором) для того чтобы изменения вступили в силу. Чтобы проверить работоспособность этих изменений, попробуйте обратиться к URL на вашем сайте с параметром aspxerrorpath и убедитесь, что возвращается HTTP ошибка со стороны IIS.
weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx