Di recente Microsoft ha rilasciato un Security Advisory in cui segnala un'importante vulnerabilità su qualsiasi versione di ASP.NET (dalla 1.1 alla 4.0) che è in grado, in condizioni particolari, di permettere anche l'accesso dei file da remoto.
Questa vulnerabilità ha pieno effetto se l'applicazione ASP.NET è stata configurata tramite web.config per mostrare l'errore completo.
Micorosft ha messo subito a disposizione uno script per controllare in maniera automatica se i vostri file web.config sono affetti o meno da questo problema.
Trovate maggiori informazioni riguardo questa vulnerabilità direttamente dal sito di Scott Guthrie.
Ecco, dobbiamo sapere che anche SharePoint Foundation 2010 e SharePoint Server 2010 sono affetti dalla medesima vulnerabilità e all'interno del blog del team di SharePoint troviamo i passi per correggerla.
Questi i passi da seguire:
1- Aprire la directory %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts.
2- Creare un nuovo file, chiamato "error2.aspx" ed inserirci questo contenuto:
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
<html>
<head runat="server">
<title>Error</title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
3- Aprire la directory %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories.
4- Per ognuna delle sottodirectory presenti, seguire queste istruzioni:
- modificare il file web.config
- recuperare la sezione customErrors e modificarla come segue:
<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="/_layouts/error2.aspx" />
- salvare
- eseguire un IISRESET /NOFORCE
Nota: chiaramente se avete modificato i percorsi per le vostre web application sul file system, dovrete modificare anche i web.config inseriti al loro interno.
Se non volete fare queste operazioni a mano, c'è chi ha creato una soluzione WSP per voi da installare in grado di correggere automaticamente la vulnerabilità. La potete trovare a questo indirizzo:
http://shojeeb.com/sharepoint/security-advisory-2416728-vulnerability-in-asp-net-and-sharepoint/
Raccomando tutti di eseguire subito i controlli del caso !
Se volete maggiori informazioni, ecco qua un pò di link utili:
- Microsoft Security Advisory (2416728) (Vulnerability in ASP.NET Could Allow Information Disclosure)
- Security Advisory 2416728 Released (dal blog di Microsoft Security Response Center)
- Important: ASP.NET Security Vulnerability (dal blog di Scott Guthries)
- Vulnerabilità 0-Day per ASP.NET: a rischio le applicazioni non configurate correttamente (dal blog di Daniele Bochicchio)