PeppeDotNet.it

Il blog di Giuseppe Marchi - SharePoint MVP

NAVIGATION - SEARCH

Security Advisory 2416728 (vulnerabilità in ASP.NET) e SharePoint 2010

Di recente Microsoft ha rilasciato un Security Advisory in cui segnala un'importante vulnerabilità su qualsiasi versione di ASP.NET (dalla 1.1 alla 4.0) che è in grado, in condizioni particolari, di permettere anche l'accesso dei file da remoto.
Questa vulnerabilità ha pieno effetto se l'applicazione ASP.NET è stata configurata tramite web.config per mostrare l'errore completo.
Micorosft ha messo subito a disposizione uno script per controllare in maniera automatica se i vostri file web.config sono affetti o meno da questo problema.

Trovate maggiori informazioni riguardo questa vulnerabilità direttamente dal sito di Scott Guthrie.

Ecco, dobbiamo sapere che anche SharePoint Foundation 2010 e SharePoint Server 2010 sono affetti dalla medesima vulnerabilità e all'interno del blog del team di SharePoint troviamo i passi per correggerla.
Questi i passi da seguire:

1- Aprire la directory %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts.
2- Creare un nuovo file, chiamato "error2.aspx" ed inserirci questo contenuto:

<%@ Page Language="C#" AutoEventWireup="true" %>

<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();

prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);

IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>

<html>
<head runat="server">
<title>Error</title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>


3- Aprire la directory %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories.
4- Per ognuna delle sottodirectory presenti, seguire queste istruzioni:
- modificare il file web.config
- recuperare la sezione customErrors e modificarla come segue:

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="/_layouts/error2.aspx" />

- salvare
- eseguire un IISRESET /NOFORCE

Nota: chiaramente se avete modificato i percorsi per le vostre web application sul file system, dovrete modificare anche i web.config inseriti al loro interno.

Se non volete fare queste operazioni a mano, c'è chi ha creato una soluzione WSP per voi da installare in grado di correggere automaticamente la vulnerabilità. La potete trovare a questo indirizzo:
http://shojeeb.com/sharepoint/security-advisory-2416728-vulnerability-in-asp-net-and-sharepoint/


Raccomando tutti di eseguire subito i controlli del caso !
Se volete maggiori informazioni, ecco qua un pò di link utili:

- Microsoft Security Advisory (2416728) (Vulnerability in ASP.NET Could Allow Information Disclosure)
- Security Advisory 2416728 Released (dal blog di Microsoft Security Response Center)
- Important: ASP.NET Security Vulnerability (dal blog di Scott Guthrie’s)
- Vulnerabilità 0-Day per ASP.NET: a rischio le applicazioni non configurate correttamente (dal blog di Daniele Bochicchio)

Aggiungi Commento