ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件

钛元素
 钛元素
发布于 2010年09月19日
收藏 2

微软安全响应中心今天中午发布最新安全预警, 提醒广大ASP.NET用户防范一处新安全漏洞. 攻击者可利用存在于ASP.NET加密模块的一处最新漏洞访问到包括web.config在内的任何文件. 此漏洞存在于ASP.NET所有已发布的版本中, 其影响程度不容小视. 目前尚无补丁发布. 请广大开发和维护人员加强防范.

据悉, ASP.Net 加密模块中新公开的漏洞可使攻击者解密并篡改任意加密数据。 如果 ASP.Net 应用程序使用的是 ASP.Net 3.5 SP1 或更高版本,攻击者可以使用此加密漏洞请求 ASP.Net 应用程序中的任意文件的内容。 网络上一些已流传开的攻击案例显示出攻击者可以利用该加密漏洞获取 web.config 文件的内容。 实际上一旦攻击者获取了web应用程序worker process的访问权限, 他即有权访问的应用程序中的任意文件。

有关该漏洞的详细信息, 请访问:  http://www.microsoft.com/technet/security/advisory/2416728.mspx 

转帖,希望大家都看看。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件
加载中

最新评论(15

朱尚闻
我的电软件金霸王
LinkerLin
LinkerLin
微软威武
sunney888
sunney888
无语,这么大一个洞洞。呵呵!
戴威
戴威

引用来自“钛元素”的评论

说实话,看到了挺可怕,不过不知道怎么去测试自己的系统,谁知道的吱一声

默默无蚊
默默无蚊
关注
G.
G.
搞笑, 如果防范呢?
爱我老婆
爱我老婆
目前尚无补丁发布. 请广大开发和维护人员加强防范”
这什么意思呀? 怎么防止?
努力ing
努力ing
哎,光说有漏洞,说个方法让我测试一下啊,我一直做.net啊,现在正自学php,哪个系统没有漏洞,只不过有的被发现了有的没有而已。
钛元素
钛元素
微软应该会出补丁的
返回顶部
顶部