sept. 18 2010

[ASP.NET][Sécurité] Important : Faille sensible touchant toutes les versions ASP.NET !

Category: ASP.NET | ASP.NET 4 | SécuritéNicolas Esprit @ 14:42

Vu le nombre potentiel d'applications impactées par cette faille, mais aussi le nombre d'applications ASP.NET stockant des données sensibles, il est important de lire ce qui suit.

Hier, Microsoft a plublié un bulletin de sécurité à propos d'une faille du type "Padding Oracles Everywhere" révélée lors d'une conférence sur la sécurité par Juliano Rizzo. L'exploitation de cette faille permet d'obtenir des fichiers sur le serveur comme le fichier Web.config. Obtenir ce fichier permettrait entre autre d'avoir accès aux bases de données et théoriquement à de nombreuses informations sensibles.

Pour résumer très rapidement cette faille, disons qu'un hacker peut envoyer un texte à votre application et examiner le code d'erreur renvoyé par le serveur Web afin de savoir si le texte a été correctement décrypté ou non. En examinons ce code ou les informations affichées sur la page d'erreur, et en réalisant de multiples essais, le hacker pourra au final en apprendre assez pour obtenir l'accès.

Scott Guthrie vient de poster un billet sur son blog décrivant la marche à suivre, relativement simple et rapide à mettre en place, pour contrer cette faille.

Je vous invite vivement à consulter ce billet.

[EDIT 21/09/2010] Scott vient de publier un nouveau billet avec une FAQ. On y apprend que ce problème touche aussi bien ASP.NET Web Forms que MVC, mais également SharePoint voire même la version 2010 de SharePoint. Pour cette dernière techno vous pouvez consulter le billet de l'équipe Microsoft.

Microsoft travaille également sur un fix qui sera distributé via Windows Update [/EDIT]

Tags: , , ,

Les commentaires sont clos