http://www.aspnetzone.de/forums/14/ShowForum.aspxHier findet ihr wichtige Hinweise rund um die ASP.NET Zone. <b>Dieses Forum ist moderiert</b>CommunityServer 2.1 SP2 (Build: 61120.2)http://www.aspnetzone.de/forums/thread/218971.aspxSun, 19 Sep 2010 18:10:21 GMTce930855-ae9b-4fa4-8077-06a76071cc6a:218971Stefan Falz0http://www.aspnetzone.de/forums/thread/218971.aspxhttp://www.aspnetzone.de/forums/commentrss.aspx?SectionID=14&PostID=218971Ein aktuelles und sehr kritisches Sicherheitsproblem macht gerade Schlagzeilen.<br><br>Vorab das wichtigste: Es ist absolut notwendig, dass man unverzüglich die Workarounds, die u.a. von Scott Guthrie gepostet wurden, anwendet. Details dazu siehe:<br><br>&nbsp; <a href="http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx">http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx</a> <br><br>Ein kleiner Auszug aus dem Blogbeitrag:<br><br> <BLOCKQUOTE><div><br><b>What does the vulnerability enable?</b><br><br>An attacker using this vulnerability can request and download files within an ASP.NET Application like the web.config file (which often contains sensitive data).<br><br>At attacker exploiting this vulnerability can also decrypt data sent to the client in an encrypted state (like ViewState data within a page). </div></BLOCKQUOTE><br>Da in den Config Dateien oftmals sicherheitsrelevante Daten (wie bspw. ConnectionStrings inkl. Pfade, Usernamen und Passworte, ...) stehen, ist es, wie schon gesagt, dringend notwendig, sich über die Sicherheitslücke zu informieren. der Blogbeitrag von Scott Guthrie beinhaltet eigentlich alles inkl. einem kleinen Hilfstool, mit dem man die problematischen Webs auf eigenen Webservern besser finden kann.<br><br><b>Edit:</b> <a href="http://www.aspnetzone.de/blogs/stefanfalz/archive/2010/09/25/update-zur-asp-net-sicherheitsl-cke.aspx">Update zur ASP.NET Sicherheitslücke</a><br><br>