ASP.NET惊爆新安全漏洞 攻击者可访问任意文件
2011-09-23 22:57
579 查看
微软安全响应中心近日发布最新安全预警, 提醒广大ASP.NET用户防范一处新安全漏洞。攻击者可利用存在于ASP.NET加密模块的一处最新漏洞访问到包括web.config在内的任何文件。 此漏洞存在于ASP.NET所有已发布的版本中,其影响程度不容小视。 目前尚无补丁发布。请广大开发和维护人员加强防范。
据悉, ASP.Net 加密模块中新公开的漏洞可使攻击者解密并篡改任意加密数据。 如果 ASP.Net 应用程序使用的是 ASP.Net 3.5 SP1 或更高版本,攻击者可以使用此加密漏洞请求 ASP.Net 应用程序中的任意文件的内容。 网络上一些已流传开的攻击案例显示出攻击者可以利用该加密漏洞获取 web.config 文件的内容。 实际上一旦攻击者获取了web应用程序worker process的访问权限, 他即有权访问的应用程序中的任意文件。
微软称当前正在与合作伙伴通力协作,希望在微软没有开发出补丁之前这些合作伙伴能为其用户提供暂时的保护措施。微软指出,在完成对此漏洞的调查后公司将在每月例行补丁发布时提供安全升级,也可能会根据情况发布非常规性补丁。
ASP.NET中存在的这个漏洞影响的操作系统包括:Windows XP SP3、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2。
有关该漏洞的详细信息, 请访问: http://www.microsoft.com/technet/security/advisory/2416728.mspx
原文链接:http://www.cnbeta.com/articles/122277.htm
据悉, ASP.Net 加密模块中新公开的漏洞可使攻击者解密并篡改任意加密数据。 如果 ASP.Net 应用程序使用的是 ASP.Net 3.5 SP1 或更高版本,攻击者可以使用此加密漏洞请求 ASP.Net 应用程序中的任意文件的内容。 网络上一些已流传开的攻击案例显示出攻击者可以利用该加密漏洞获取 web.config 文件的内容。 实际上一旦攻击者获取了web应用程序worker process的访问权限, 他即有权访问的应用程序中的任意文件。
微软称当前正在与合作伙伴通力协作,希望在微软没有开发出补丁之前这些合作伙伴能为其用户提供暂时的保护措施。微软指出,在完成对此漏洞的调查后公司将在每月例行补丁发布时提供安全升级,也可能会根据情况发布非常规性补丁。
ASP.NET中存在的这个漏洞影响的操作系统包括:Windows XP SP3、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2。
有关该漏洞的详细信息, 请访问: http://www.microsoft.com/technet/security/advisory/2416728.mspx
原文链接:http://www.cnbeta.com/articles/122277.htm
相关文章推荐
- 【转】ASP.NET惊爆新安全漏洞 攻击者可访问任意文件
- ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件
- ASP.NET惊爆新安全漏洞 攻击者可访问任意文件
- ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件
- [备忘]ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件
- PHP COM组件调用绕过安全模式执行任意文件漏洞
- Apache HTTP Server suEXEC符号链接任意文件访问漏洞
- js css 为帮助保护您的安全,internet explorer已经限制此文件显示可能访问您的计算机的活动内容 备忘
- 文件夹没有安全选项-文件上传下载-路径访问被拒绝
- PHP 'ext/soap/php_xml.c'不完整修复多个任意文件泄露漏洞
- WordPress Lazy SEO插件lazyseo.php脚本任意文件上传漏洞
- PhpMyadmin任意文件读取漏洞
- 网站url过滤不严格造成下载任意文件漏洞
- WPF:WebBrowser提示 为帮助保护你的安全,您的Web浏览器已经限制此文件显示可能访问您的计算机的活动内容
- PHPMailer命令执行及任意文件读取漏洞
- Web迅雷远程任意文件读取漏洞
- PHP 不安全文件权限漏洞
- 如何查找网站漏洞文件任意查看漏洞详情与利用
- 取消IE浏览器“为帮助保护您的安全,Internet Explorer 已经限制此文件显示可能访问您计算机的活动内容。”提示
- jenkins任意文件读取漏洞复现与分析 -CVE-2018-1999002