Filed under Network e manutenzione , Network e manutenzione
Molti clienti ci hanno scritto per chiedere maggiori informazioni circa la vulnerabilità di ASP.NET che era stata annunciata da Microsoft il 17 Settembre 2010 nel suo security advisory 2416728 ed erano giustamente preoccupati che questo problema potesse portare alla compromissione delle loro applicazioni, soprattutto attraverso accesso non autorizzato al file web.config, che spesso contiene molte informazioni importanti come accessi ai database sia locali che remoti, chiavi di criptazione etc. La soluzione proposta da Microsoft mentre quest'ultima elaborava una patch per la vulnerabilità non era certo delle più allettanti in quanto sarebbe stato necessario attivare la redirezione di tutti gli errori verso una pagina personalizzata che emettesse poi un codice di errore generico e non specifico, in modo da non consentire ad utenti malintenzionati di usare i codici di errore per "scoprire" le chiavi necessarie all'accesso di sezioni criptate come il ViewState e, soprattutto, usare tali chiavi per effettuare accessi diretti a file importanti come il web.config.
Questa modalità però aveva l'effetto collaterale di disabilitare globalmente la visualizzazione degli errori specifici e quindi impedire anche di svolgere un debug di una applicazione o capire che tipo di problema questa stesse sperimentando, anche quando tale problema non fosse legato alla vulnerabilità ma solo ad errori comuni. Ancora peggiore era la possibilità che questo bug compromettesse anche le applicazioni che non usavano ASP.NET come quelle in PHP.
A 11gg dall'annuncio, Microsoft ha rilasciato poi un nuovo bollettino di sicurezza, l'MS10-070, che confermava che erano subito disponibili le patch per la correzione della vulnerabilità, probabilmente la peggiore che abbia afflitto ASP.NET dal momento della sua introduzione, nel 2003, e noi vogliamo confermare che tutti i nostri server di Web Hosting sono già protetti, con le patch di sicurezza installate ed operative. Abbiamo inoltre già inviato delle segnalazioni ai nostri clienti che usino server virtuali o dedicati con Windows installato e speriamo che tutti loro abbiano già installato le patch, considerando comunque che da ieri queste sono disponibili anche come aggiornamenti via Windows Update, per cui tutti i clienti che abbiano attivato gli aggiornamenti automatici le riceveranno in brevissimo tempo.
Microsoft ha comunicato che le modifiche apportate non hanno impatto sul codice esistente e che tutte le applicazioni dovrebbero continuare a funzionare senza che sia necessario effettuare delle modifiche. Invitiamo però tutti i nostri clienti a segnalarci eventuali anomalie in modo che sia possibile eventualmente suggerire loro una soluzione. In generale, però, se gli sviluppatori hanno seguito le indicazioni e la documentazione fornita da Microsoft durante lo sviluppo delle proprie soluzioni, non dovrebbe essere necessario apportare alcuna modifica al codice esistente.
cda5d0f8-def8-4526-ac85-4240742ba8e8|1|4.0