Security Advisory 2416728 (Vulnerability in ASP.NET) and SharePoint


In ASP.NET wurde eine Sicherheitslücke entdeckt, durch die ein Angreifer den View State einer ASP.NET Website auslesen kann oder gar Zugriff auf die web.config erhält.

Offizieller Microsoft Security Advisory: https://www.microsoft.com/technet/security/advisory/2416728.mspx

Das betrifft somit auch SharePoint 2010. Auf Facebook hat Microsoft einen Workaround für SharePoint 2010 veröffentlicht.

Der Workaround besteht darin, eine neue error.aspx zu erstellen und in jeder web.config auf diese neue Seite umzuleiten.

Die error.aspx (bzw. error2.aspx, nicht (!) das Original überschreiben) muss dabei auf jedem Web Front-End Server erstellt werden. Die web.config jeder Webanwendung angepasst werden.

Die error.aspx befindet sich im 14 Hive:

%CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts

Für alle bei denen Facebook im Firmennetz gesperrt ist (soll ja vorkommen) hier der Code für die neuen error2.aspx:

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
   void Page_Load() {
      byte[] delay = new byte[1];
      RandomNumberGenerator prng = new RNGCryptoServiceProvider();

      prng.GetBytes(delay);
      Thread.Sleep((int)delay[0]);
        
      IDisposable disposable = prng as IDisposable;
      if (disposable != null) { disposable.Dispose(); }
    }
</script>

<html>
<head runat="server">
    <title>Error</title>
</head>
<body>
    <div>
        An error occurred while processing your request.
    </div>
</body>
</html>

Die web.config in allen Unterverzeichnissen von

%SystemDrive%\inetpub\wwwroot\wss\virtualdirectories

anpassen.

In der web.config folgenden Code suchen und wie folgt anpassen:

<customErrors mode="On" redirectMode="ResponseRewrite" 
defaultRedirect="/_layouts/error2.aspx" />

Danach iisreset /noforce auf allen Servern.

Vorher immer entsprechend auf einem Testsystem durchführen und Wartungsfenster planen.

Ach ja, der Link zum Facebook Artikel:

http://www.facebook.com/notes/microsoft-sharepoint/security-advisory-2416728-vulnerability-in-aspnet-and-sharepoint/437182699441

Update

Die Informationen gibt’s auch auf dem SharePoint Teamblog:

http://blogs.msdn.com/b/sharepoint/archive/2010/09/21/security-advisory-2416728-vulnerability-in-asp-net-and-sharepoint.aspx

Advertisements

About binoeder

SharePoint and Project Server Consultant
This entry was posted in SharePoint and tagged . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s