Обновление для уязвимости ASP.NET

На прошлой неделе я уже писал об уязвимости в ASP.NET.

Мы активно работаем над выпуском обновления безопасности, которое решит проблему, и я сообщу, когда данное обновление будет доступно.

Исправленное временное решение и дополнительный шаг URLScan

В моей предыдущей статье (англ.) я рассмотрел временное решение, которое вы могли сразу применить на ваших сайтах и приложениях, чтобы не дать злоумышленникам воспользоваться уязвимостью. Сегодня, мы исправим его, дополнив еще одной защитной мерой.

Этот дополнительный шаг может быть выполнен на уровне сервера, и его применение займет не более 5 минут. Важно отметить, что этот шаг не заменяет другие, приведенные в первом временном решении, а лишь дополняет их. Ниже приведена инструкция по применению.

Установите и включите IIS URLScan со специальным правилом

Если на вашем IIS веб сервере еще не установлен модуль IIS URLScan, то скачайте и установите его:

x86 версия
x64 версия

Установка займет не более минуты.

Добавьте дополнительное правило URL Scan

Как только URLScan установлен, откройте файл UrlScan.ini для редактирования, который расположен здесь:

%windir%\system32\inetsrv\urlscan\UrlScan.ini

В конце файла UrlScan.ini вы найдете секцию [DenyQueryStringSequences]. Добавьте ниже  дополнительную запись “aspxerrorpath=” и сохраните файл:

[DenyQueryStringSequences]
aspxerrorpath=

Вышеприведенная запись запрещает URL, которые имеют атрибут “aspxerrorpath=” в строке запроса, и веб-сервер будет возвращать HTTP ошибку для таких URL. Добавление данного правила не даст злоумышленнику возможности различать различные типы ошибок, возникающих на сервере – что поможет блокировать атаки, использующие данную уязвимость.

После сохранения этого изменения, запустите из командной строки “iisreset” (под администратором) для того чтобы изменения вступили в силу. Чтобы проверить работоспособность этих изменений, попробуйте обратиться к URL на вашем сайте с параметром aspxerrorpath и убедитесь, что возвращается HTTP ошибка со стороны IIS.

 

weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx

Читайте также: