Preguntado hace 1 año
Julián Mur
Acabo de leer sobre la vulnerabilidad de asp.net publicada por Scott Gutherie en http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx (inglés).
Tal como lo entiendo afecta a todos los que devuelvan errores de servidor en todas las versiones de asp.net. Y pueden acceder al web.config y claro de ahí a todos lados. Parace realmente preocupante.
En el post proveen una solución, pero no detallan demasiado el problema. ¿Alguien sabe realmente cómo funciona, para saber si debo preocuparme o no?
Hace 1 año
Alejandro Mezcua
La mejor compilación de referencias que he visto sobre el tema está en: http://geeks.ms/blogs/dsalgado/archive/2010/09/19/el-0-day-de-asp-net-modo-de-evitarlo-y-referencias.aspx
Como ves, aún no está muy claro el tema, pero viendo cuál es el tipo de ataque, la solución que se comenta parece ser la más apropiada.
Un saludo,
Manuel Fernández
Hace una semana o así que está solucionado por un parche del sistema, se puede leer aquí http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx
Saludos.
Gabriel Molina
Otra solución, hasta que microsoft pueda solucionar el problema de raíz http://oraclebugfix.codeplex.com/ Un módulo que sirve para II7 y netframework 2 y superiores.
Básicamente para protegerse hay que devolver siempre el mismo error (en el caso de este módulo siempre devuelve un 404) y retomando la idea de Scott Gutherie parar el hilo principal un tiempo aleatorio (pequeño).
Vaya dos días me he pegado revisando sites :S
Si sales ahora, perderás los cambios. ¿Estás seguro de querer salir?
Para participar en Babelias, debes estar convenientemente validado. Si ya eres usuario inicia sesión, si no lo eres, te puedes registrar.
Trata de ser descriptivo, usa al menos 25 caracteres
LLeva tu prestigio a tu página o blog, con el widget de Babelias
Usuario de ejemplo