PSPCommunity.org ورود | ثبت نام | كمك

محمود مقيمي

Mahmood Moghimi

بيشترين بازديد شده

** بسیار مهم ** رفع آسیب پذیری (Vulnerability) در ASP.Net و SharePoint

** بسیار مهم **

UPDATED 1: بعد از انجام مراحل زیر حتما طبق مراحل توضیح داده شده در بخش Workarounds در این صفجه ماژول UrlScan را نصب نمایید.

UPDATED 2: آپدیت مربوطه از سوی مایکروسافت منتشر گردید، توضیحات کامل در پست بعدی داده شده است.

اخیرا خبری مبنی بر وجود یک نقطه آسیب پذیر در ASP.Net (تمام ویرایش ها) و شرپوینت منتشر شده است و پیشنهاد می شود که هرچه سریعتر درصورت استفاده از هریک از ویرایش های مختلف ASP.Net و یا شرپوینت نسبت به اجرای راه حل ارائه شده اقدام نمایید.

راه حل ارائه شده از سوی مایکروسافت برای شرپوینت (Microsoft SharePoint 2010 and Microsoft SharePoint Foundation 2010) :

در صورتیکه سایت شرپوینت طراحی شده از طریق اینترنت قابل دسترس است مراحل زیر را بر روی هر سرور web front-end در فارم شرپوینت انجام دهید :

1. باز نمودن Explorer ویندوز و رفتن به مسیر نصب شرپوینت :

%CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts

2. ساخت فایلی با نام error2.aspx در مسیر فوق و با محتویات زیر :

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
   void Page_Load() {
      byte[] delay = new byte[1];
      RandomNumberGenerator prng = new RNGCryptoServiceProvider();

      prng.GetBytes(delay);
      Thread.Sleep((int)delay[0]);
      IDisposable disposable = prng as IDisposable;
      if (disposable != null) { disposable.Dispose(); }
    }
</script>

<html>
<head runat="server">
    <title>Error</title>
</head>
<body>
    <div>
        An error occurred while processing your request.
    </div>
</body>
</html>

3. رفتن به مسیر زیر

%SystemDrive%\inetpub\wwwroot\wss\virtualdirectories

4. برای هر زیر شاخه موجود در این مسیر مراحل زیر انجام شود :

- باز نمودن فایل web.config جهت ویرایش و تغییر customErrors بصورت زیر :

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="/_layouts/error2.aspx" />

- ثبت تغییرات
- اجرای دستور  iisreset /noforce

 

برای اطلاع بیشتراز این مشکل امنیتی و چگونگی رفع آن در ASP.Net می توانید به این آدرس ها مراجعه نمایید :

Understanding the ASP.NET Vulnerability

Important: ASP.NET Security Vulnerability

 

موفق باشید.

Posted: Tuesday, September 21, 2010 6:26 PM توسط mahmood56

نظرات

ali aghdam گفته:

# September 21, 2010 7:39 PM

Majid Ravaghi گفته:

# September 22, 2010 12:11 AM

محمود مقيمي گفته:

همانطوریکه در پست قبلی اشاره شد، به تازگی مشکل امنیتی بسیار مهمی در ASP.Net مشخص گردیده که از طریق آن

# September 29, 2010 1:49 AM
نظرات افراد ناشناس غير فعال مي باشد