Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, Microsoft

SR10-186 MS10-070 - Säkerhetsuppdatering för ASP.NET

ASP.NET sårbar för informationläckage vid "padding oracle"-attack.

Problembeskrivning

CVE-referens: CVE-2010-3332

ASP.NET är sårbar för en s.k. "padding oracle"-attack. Detta betyder att ASP.NET läcker information vid verifiering av krypterad data, eller rättare sagt vid verifieringen av uppfyllnaden (padding).

Sårbarheten som vi uppmärksammade i SR10-182 kan utnyttjas av en angripare för att läsa data, såsom "view state", som krypterats av servern. En angripare kan också dekryptera och manipulera data som krypterats av servern. I Microsoft .NET Framework 3.5 Service Pack 1 och uppåt kan sårbarheten även utnyttjas för att läsa godtyckliga filer från en sårbar ASP.NET-applikation, däribland web.config.

Samtliga versioner av .NET-ramverket är påverkade med undantag för Microsoft .NET Framework 1.0 Service Pack 3. Värt att notera är att alla applikationer som bygger på ASP.NET är påverkade, som t.ex. Sharepoint och Exchange.

Sitics rekommendation är att applicera programrättningarna från Microsoft snarast möjligt.

Påverkade versioner

  • Samtliga versioner av Microsoft .NET Framework förutom Microsoft .NET Framework 1.0 Service Pack 3

Mer information och programrättningar

http://www.microsoft.com/technet/security/Bulletin/MS10-070.mspx