ASP.NET Programmierung   ·   Microsoft MVP ASP/ASP.NET   ·   Peter Bucher   ·   Jürgen Gutsch   ·   Karsten Samaschke   ·   Microsoft ASP.NET
Willkommen bei ASP.NET Zone. Anmelden | Registrieren | Hilfe

Update zur ASP.NET Sicherheitslücke

Da es leider immer noch keinen Patch zur aktuellen ASP.NET Sicherheitslücke gibt, sollte man lt. dem entsprechenden Blogpost von Scott Guthrie zusätzlich zu dem bereits erwähnten Workaround (Aktivieren der CustomErrors ...) nun noch IIS UrlScan einsetzen, um den Schutz zu verbessern.

Installieren und aktivieren von IIS URLScan mit einer individuellen Regel

Wenn ihr das IIS URLScan Modul noch nicht auf eurem IIS verwendet, könnt iht dieses hier herunterladen:

    * x86 Version
    * x64 Version

Nach der Installation fügt ihr eine neue URL Scan Regel ein. Hierfür öffnet ihr die UrlScan.ini, welche ihr im Normalfall hier findet:

    * %windir%\system32\inetsrv\urlscan\UrlScan.ini

So ziemlich am Ende der Datei steht der Abschnitt [DenyQueryStringSequences].  Dort fügt ihr einen zusätzlichen Eintrag "aspxerrorpath=" hinzu und speichert die geänderte UrlScan.ini Datei.

    [DenyQueryStringSequences]
    aspxerrorpath=

Weitere Details hierzu findet ihr hier.

Veröffentlicht Samstag, 25. September 2010 09:03 von Stefan Falz

Kommentare

# ASP.NET Sicherheitslücke – Heute gibt es das Update

Michael Schwarz hat es eben gebloggt: Heute im Laufe des Tages gibt es vom Microsoft das Update zur ASP.NET

Dienstag, 28. September 2010 09:42 by Jürgen Gutsch
Anonyme Kommentare sind nicht zugelassen