Patch Day Februar 2005: Rundumschlag
MS05-004: Lücke bei der Validierung von Pfaden bei ASP.Net
In ASP.Net existiert eine Lücke bei der Validierung von Pfadnamen. Bei Websites, die eine Autorisierung benötigen, führt dies eventuell dazu, dass ein Angreifer Login-Mechanismen umgehen und so an Informationen oder erweiterte Rechte gelangen kann. Dazu muss der Angreifer lediglich eine speziell aufgebaute URL an den Webserver schicken.
Für dieses Problem besteht schon seit Oktober 2004 ein Work-around, bei dem der Webserver die URLs vor der Weitergabe an ASP.Net säubert. Da dieser Work-around das eigentliche Problem nicht behebt, sollten Sie dennoch den bereitgestellten Patch installieren.
Datum | 08.02.2005 |
---|---|
| |
Warnstufe | Wichtig |
Betrifft | .Net Framework 1.0, .Net Framework 1.1 |
Auswirkung | Informationspreisgabe, Rechteausweitung |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |