Salı, Eylül 21, 2010

ASP.NET ve SharePoint'te Güvenlik Açığı (Microsoft Security Advisory (2416728))

ASP.NET'te SharePoint'i de etkileyen bir güvenlik açığı duyuruldu. Bu güvenlik açığı ile ViewState verisi elde edilebiliyor ya da sitede bulunan web.config gibi dosyaların içeriği görüntülenebiliyor. Güvenlik açığının detay bilgilerine buraya tıklayarak erişebilirsiniz.


Güvenlik açığından kurtulmak için; sitenin Custom Errors modunu "On" olarak ayarlayıp site içerisinde hata oluşması durumunda kullanıcıyı kendi tasarladığınız custom bir hata sayfasına yönlendirmeniz yeterli oluyor. SharePoint için yapılması gereken işlemleri maddeler halinde SharePoint'in resmi bloğunda olduğu şekilde açıklıyorum;


1. SharePoint'i yüklemiş olduğunuz dizinde %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\14\template\layouts klasörüne geçin.

2. Klasörde error2.aspx adında bir dosya oluşturup içeriğini aşağıdaki hale getirin:


3. %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories dizinine geçin.


4. Her alt klasör için aşağıdaki işlemleri tekrarlayın:


     1. web.config'i açın. 
     2. custom Errors düğümünü bulup aşağıdaki gibi düzenleyin;
          default Redirect="/_layouts/error2.aspx" />
     3. Değişiklikleri Kaydedin. 
     4. Run iisreset /noforce

Daha fazla bilgi için:

Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure


Security Advisory 2416728 Released – Microsoft Security Response Center Blog


Understanding the ASP.NET Vulnerability – Microsoft Security Research & Defense Blog


Important: ASP.NET Security Vulnerability – Scott Guthrie’s Blog


Frequently Asked Questions about the ASP.NET Security Vulnerability – Scott Guthrie’s Blog

Hiç yorum yok: