Update zur ASP.NET Sicherheitslücke
Da es leider immer noch keinen Patch zur
aktuellen ASP.NET Sicherheitslücke gibt, sollte man lt. dem
entsprechenden Blogpost von
Scott Guthrie zusätzlich zu dem bereits erwähnten Workaround (Aktivieren der CustomErrors ...) nun noch IIS UrlScan einsetzen, um den Schutz zu verbessern.
Installieren und aktivieren von IIS URLScan mit einer individuellen Regel
Wenn ihr das
IIS URLScan Modul noch nicht auf eurem IIS verwendet, könnt iht dieses hier herunterladen:
*
x86 Version *
x64 VersionNach der Installation fügt ihr eine neue URL Scan Regel ein. Hierfür öffnet ihr die UrlScan.ini, welche ihr im Normalfall hier findet:
* %windir%\system32\inetsrv\urlscan\UrlScan.ini
So ziemlich am Ende der Datei steht der Abschnitt [DenyQueryStringSequences]. Dort fügt ihr einen zusätzlichen Eintrag "aspxerrorpath=" hinzu und speichert die geänderte UrlScan.ini Datei.
[DenyQueryStringSequences]
aspxerrorpath=
Weitere Details hierzu findet ihr
hier.