摘要:ASP.NET安全漏洞的更新
[原文發表位置]:Update on ASP.NET Valnerability
[原文發表時間]:2010/9/24 4:13 PM
這個星期早些時候,我公告了一個ASP.NET安全漏洞,另外還有另外一篇跟進部落格提到了關於它的常見問題。
我們正在積極地為發佈修復它的安全更新而努力,並且我的團隊也爭分奪秒地開發和測試可以通過Windows Update發佈,適用於所有Windows平台的修補檔。一旦它可用,我就會發表它的詳細訊息。
重要更新:你現在可以在這裡下載官方的安全修補檔。請盡快在你的伺服器上安裝它—這是避免攻擊的唯一方案。
改進的臨時解決方案和新增的URLScan步驟
在我的第一篇部落格裡,我提到了你可以立即用在你的網站和程式上以防範攻擊的臨時解決方案。今天,我們將改進它以增加一個額外的保衛措施。
這個額外的步驟可以在伺服器層面,實施過程不超過5分鐘。更重要的是,這個步驟不會替換掉原先方案裡的其它步驟,而僅僅是在其上添加一個額外的步驟。下面就是啟用它的方法:
安裝和啟用IIS URLScan的一個自訂規則
如果你還沒有在你的IIS Web伺服器上安裝IIS URLScan模組,請下載並安裝它:
· x86版本
· x64版本
安裝過程不到一分鐘。
添加一個URL Scan規則
一旦安裝好URLScan,請從以下地方打開UrlScan.ini並編輯它:
- %windir%\system32\inetsrv\urlscan\UrlScan.ini
接近UrlScan.ini文件的底部,你可以看到一個 [DenyQueryStringSequences] 節區。在它下面添加一行「aspxerrorpath=」並保存:
[DenyQueryStringSequences] aspxerrorpath=
上面的設置禁止往ASP.NET程式發送帶有 "aspxerrorpath=" 查詢屬性的URL請求,並讓web伺服器傳回一個HTTP錯誤。添加這個規則避免攻擊者區分出伺服器上發生的錯誤型別—也防止攻擊者利用這個漏洞。
保存後,在命令列提示字元視窗(管理員權限)執行「iisreset」來啟用它。要驗證變動是否生效,請嘗試用一個帶有aspxerrorpath查詢屬性的URL訪問你的網站/程式,並驗證IIS是否回饋一個HTTP錯誤。
總結
如果你已經採納了我們以前發佈的解決方案,請添加這一步來阻止攻擊者利用該漏洞。
我們團隊正爭分奪秒地通過Windows Update發佈一個修復該漏洞的修補檔。在修補檔發佈前,你可以使用上面的方案來防範攻擊者利用該漏洞攻擊你的程式。
重要更新:你現在可以在這裡下載官方的安全修補檔。請盡快在你的伺服器上安裝它—這是避免攻擊的唯一方案。
一旦修補檔已經發佈,你就不再需要這個方案了。關於這個漏洞和方法的更多訊息請參閱:
· 我最初的文章
· 我的常見問題解答
請在www.asp.net網站的論壇上提關於這個漏洞的問題。
希望這能對您有所幫助。
附:[除了寫部落格以外,我現在也使用推特(Twitter)來及時更新狀態和分享連結,您可以到這個地址「推」我一下:twitter.com/scottgu]